Λόγω ενός σφάλματος στον ιστότοπο της T-Mobile τον Απρίλιο, οι πληροφορίες λογαριασμού των πελατών παρέμειναν προσβάσιμες για να τις δουν όλοι, Αναφέρει το ZDnet. Ενώ το ελάττωμα ασφαλείας έχει επιδιορθωθεί από τότε, οι προσωπικές πληροφορίες θα μπορούσαν ενδεχομένως να έχουν γίνει κατάχρηση από οποιονδήποτε ήξερε πού να ψάξει.
Ο υποτομέας — promotool.t-mobile.com — είναι μια πύλη εξυπηρέτησης πελατών για πρόσβαση των εργαζομένων σε εσωτερικά εργαλεία. Αλλά το σφάλμα επέτρεψε την εύκολη εύρεση του μέσω των μηχανών αναζήτησης και δεν απαιτούσε κωδικό πρόσβασης για πρόσβαση στα εργαλεία.
Προτεινόμενα βίντεο
Το ελάττωμα οφειλόταν σε ένα κρυφό API — παρείχε δεδομένα πελατών της T-Mobile προσθέτοντας τον αριθμό κινητού τηλεφώνου του πελάτη στο τέλος της διεύθυνσης ιστού. Αυτά τα δεδομένα περιελάμβαναν τον αριθμό λογαριασμού χρέωσης ενός πελάτη, την ταχυδρομική διεύθυνση και τα στοιχεία λογαριασμού, όπως ως την κατάσταση των λογαριασμών τους, συμπεριλαμβανομένου του εάν η υπηρεσία για έναν λογαριασμό έχει ανασταλεί ή ο λογαριασμός έχει καθυστερήσει. Για ορισμένους, ήταν επίσης προσβάσιμα τα PIN λογαριασμού πελάτη και οι αριθμοί φορολογικού μητρώου.
Σχετίζεται με
- Ο αγώνας ταχύτητας 5G τελείωσε και η T-Mobile κέρδισε
- Το 5G της T-Mobile εξακολουθεί να είναι απαράμιλλο - αλλά έχουν αυξηθεί οι ταχύτητες;
- Εδώ είναι ένας άλλος μεγάλος λόγος για τον οποίο το T-Mobile 5G κυριαρχεί στην AT&T και τη Verizon
Το API τραβήχτηκε από την T-Mobile μια μέρα αφότου αναφέρθηκε από τον ερευνητή ασφαλείας Ryan Stevenson, στον οποίο απονεμήθηκε επίσης ένα bounty bug $1.000 αργότερα. Αν και δεν είναι σαφές πόσο καιρό εκτέθηκε το API, ένας εκπρόσωπος της T-Mobile είπε στο ZDnet ότι δεν υπάρχουν στοιχεία για πρόσβαση σε πληροφορίες πελατών.
Αυτό είναι δεν είναι η πρώτη φορά Ένα τέτοιο θέμα έχει συμβεί στην T-Mobile. Τον Οκτώβριο, ένα ελάττωμα ασφαλείας επέτρεψε στους χάκερ να αποκτήσουν πρόσβαση σε παρόμοιες πληροφορίες μέσω ενός ιστότοπου της T-Mobile. Οι χάκερ μπόρεσαν να αποκτήσουν διευθύνσεις email, αριθμούς λογαριασμών και πολλά άλλα, χρησιμοποιώντας απλώς τον αριθμό τηλεφώνου του πελάτη.
Το ελάττωμα ανακαλύφθηκε από τον ερευνητή ασφαλείας Karan Saini και επέτρεψε στους χάκερ να αποκτήσουν πληροφορίες σχετικά με αυτό θα μπορούσε στη συνέχεια να χρησιμοποιηθεί σε επίθεση κοινωνικής μηχανικής, καθώς και να παρέχεται πρόσβαση σε άλλες προσωπικές πληροφορίες Σε σύνδεση. Η T-Mobile ισχυρίστηκε ότι το σφάλμα επηρέασε μόνο έναν μικρό αριθμό πελατών και ότι διορθώθηκε εντός 24 ωρών από την ανακάλυψή του.
Τα νέα για το πιο πρόσφατο ελάττωμα έρχονται λίγο λιγότερο από ένα μήνα μετά η συγχώνευση με την T-Mobile και την Sprint ανακοινώθηκε — που ήταν επίσης τον Απρίλιο. Ενώ και οι δύο αερομεταφορείς συμφώνησαν να συνδυάσουν εταιρείες, δεν έχουμε ακόμη να δούμε αν το Υπουργείο Δικαιοσύνης των ΗΠΑ θα το εγκρίνει.
Συστάσεις των συντακτών
- Το τεράστιο προβάδισμα της T-Mobile στις ταχύτητες 5G δεν οδηγεί πουθενά
- Τα νεότερα σχέδια της T-Mobile είναι συναρπαστικά για νέους (και παλιούς) πελάτες
- Οι συνδρομητές της T-Mobile μπορούν να λάβουν δωρεάν MLS Season Pass
- Η T-Mobile υφίσταται μαζική παραβίαση δεδομένων… ξανά
- Η T-Mobile αφήνει την AT&T και τη Verizon στη σκόνη του 5G
Αναβαθμίστε τον τρόπο ζωής σαςΤο Digital Trends βοηθά τους αναγνώστες να παρακολουθούν τον γρήγορο κόσμο της τεχνολογίας με όλα τα τελευταία νέα, διασκεδαστικές κριτικές προϊόντων, διορατικά editorial και μοναδικές κρυφές ματιές.
