Aufgrund eines Fehlers auf der Website von T-Mobile im April waren die Kontoinformationen der Kunden für jedermann einsehbar. ZDnet berichtet. Obwohl die Sicherheitslücke inzwischen behoben wurde, könnten personenbezogene Daten möglicherweise von jedem missbraucht worden sein, der wusste, wo er suchen musste.
Die Subdomain – promotool.t-mobile.com – ist ein Kundenbetreuungsportal, über das Mitarbeiter auf interne Tools zugreifen können. Der Fehler ermöglichte jedoch eine einfache Auffindbarkeit über Suchmaschinen und erforderte kein Passwort für den Zugriff auf die Tools.
Empfohlene Videos
Der Fehler war auf eine versteckte API zurückzuführen – sie stellte T-Mobile-Kundendaten bereit, indem sie die Mobiltelefonnummer des Kunden am Ende der Webadresse hinzufügte. Zu diesen Daten gehörten die Rechnungskontonummer, die Postanschrift und Kontoinformationen eines Kunden, z B. den Status ihrer Rechnungen, einschließlich der Frage, ob der Dienst für ein Konto ausgesetzt wurde oder eine Rechnung überfällig ist. Bei einigen waren auch Kundenkonto-PINs und Steuer-ID-Nummern zugänglich.
Verwandt
- Das 5G-Geschwindigkeitsrennen ist vorbei und T-Mobile hat gewonnen
- 5G von T-Mobile ist immer noch unübertroffen – aber haben sich die Geschwindigkeiten stabilisiert?
- Hier ist ein weiterer wichtiger Grund, warum T-Mobile 5G AT&T und Verizon dominiert
Die API wurde von T-Mobile einen Tag nach der Meldung durch den Sicherheitsforscher Ryan Stevenson zurückgezogen, der später auch ein Bug-Bounty in Höhe von 1.000 US-Dollar erhielt. Obwohl nicht klar ist, wie lange die API offengelegt wurde, sagte ein Sprecher von T-Mobile gegenüber ZDnet, dass es keine Beweise dafür gebe, dass auf Kundeninformationen zugegriffen wurde.
Das ist ist nicht das erste Mal Ein solches Problem ist bei T-Mobile aufgetreten. Im Oktober ermöglichte eine Sicherheitslücke Hackern den Zugriff auf ähnliche Informationen über eine T-Mobile-Website. Hacker konnten E-Mail-Adressen, Kontonummern und mehr erhalten, indem sie einfach die Telefonnummer des Kunden verwendeten.
Der Fehler wurde vom Sicherheitsforscher Karan Saini entdeckt und ermöglichte es Hackern, an Informationen zu gelangen könnten dann für einen Social-Engineering-Angriff verwendet werden und Zugriff auf andere persönliche Informationen ermöglichen online. T-Mobile behauptete, der Fehler betreffe nur eine kleine Anzahl von Kunden und sei innerhalb von 24 Stunden nach Entdeckung behoben worden.
Die Nachricht über den jüngsten Fehler kommt etwas weniger als einen Monat später die Fusion mit T-Mobile und Sprint wurde angekündigt – ebenfalls im April. Obwohl sich beide Fluggesellschaften darauf geeinigt haben, Unternehmen zusammenzulegen, müssen wir noch sehen, ob das US-Justizministerium dies genehmigen wird.
Empfehlungen der Redaktion
- Der enorme Vorsprung von T-Mobile bei 5G-Geschwindigkeiten wird nicht verschwinden
- Die neuesten Tarife von T-Mobile sind für neue (und alte) Kunden spannend
- T-Mobile-Abonnenten können den MLS Season Pass kostenlos erhalten
- T-Mobile erleidet erneut einen massiven Datenverstoß
- T-Mobile lässt AT&T und Verizon im 5G-Staub zurück
Werten Sie Ihren Lebensstil aufDigital Trends hilft Lesern mit den neuesten Nachrichten, unterhaltsamen Produktrezensionen, aufschlussreichen Leitartikeln und einzigartigen Einblicken, den Überblick über die schnelllebige Welt der Technik zu behalten.
