A causa di un bug nel sito Web di T-Mobile ad aprile, le informazioni sull'account dei clienti sono state lasciate accessibili a chiunque potesse vederle, Lo riferisce ZDnet. Anche se da allora la falla di sicurezza è stata risolta, le informazioni personali avrebbero potuto essere potenzialmente utilizzate in modo improprio da chiunque sapesse dove cercare.
Il sottodominio — promotool.t-mobile.com — è un portale di assistenza clienti che consente ai dipendenti di accedere agli strumenti interni. Ma il bug permetteva di trovarlo facilmente attraverso i motori di ricerca e non richiedeva una password per accedere agli strumenti.
Video consigliati
Il difetto era dovuto a un'API nascosta: forniva i dati dei clienti T-Mobile aggiungendo il numero di cellulare del cliente alla fine dell'indirizzo web. Questi dati includevano il numero di conto di fatturazione, l'indirizzo postale e le informazioni sull'account del cliente, come ad esempio come lo stato delle loro fatture, incluso se il servizio per un account è stato sospeso o se una fattura è scaduta. Per alcuni erano accessibili anche i PIN degli account cliente e i numeri di identificazione fiscale.
Imparentato
- La corsa alla velocità del 5G è finita e T-Mobile ha vinto
- Il 5G di T-Mobile è ancora ineguagliato, ma le velocità si sono stabilizzate?
- Ecco un altro grande motivo per cui T-Mobile 5G domina AT&T e Verizon
L'API è stata ritirata da T-Mobile un giorno dopo essere stata segnalata dal ricercatore di sicurezza Ryan Stevenson, a cui è stato anche assegnato un bug bounty di $ 1.000 in seguito. Anche se non è chiaro per quanto tempo l'API sia stata esposta, un portavoce di T-Mobile ha detto a ZDnet che non ci sono prove che sia stato effettuato l'accesso alle informazioni dei clienti.
Questo è non è la prima volta un problema come questo si è verificato a T-Mobile. Nel mese di ottobre, una falla nella sicurezza ha permesso agli hacker di accedere a informazioni simili attraverso un sito web di T-Mobile. Gli hacker sono riusciti a ottenere indirizzi e-mail, numeri di conto e altro semplicemente utilizzando il numero di telefono del cliente.
La falla è stata scoperta dal ricercatore di sicurezza Karan Saini e ha consentito agli hacker di ottenere informazioni su questo potrebbero quindi essere utilizzati in un attacco di ingegneria sociale, oltre a fornire l'accesso ad altre informazioni personali in linea. T-Mobile ha affermato che il bug ha interessato solo un piccolo numero di clienti e che è stato risolto entro 24 ore dalla scoperta.
La notizia del difetto più recente arriva poco meno di un mese dopo la fusione con T-Mobile e Sprint è stato annunciato, sempre in aprile. Sebbene entrambi i vettori abbiano concordato di unire le società, dobbiamo ancora vedere se il Dipartimento di Giustizia degli Stati Uniti lo approverà.
Raccomandazioni degli editori
- L’enorme vantaggio di T-Mobile nella velocità del 5G non andrà da nessuna parte
- I piani più recenti di T-Mobile sono entusiasmanti per i nuovi (e vecchi) clienti
- Gli abbonati T-Mobile possono ottenere gratuitamente il Season Pass MLS
- T-Mobile subisce una massiccia violazione dei dati... di nuovo
- T-Mobile sta lasciando AT&T e Verizon nella polvere del 5G
Migliora il tuo stile di vitaDigital Trends aiuta i lettori a tenere d'occhio il frenetico mondo della tecnologia con tutte le ultime notizie, divertenti recensioni di prodotti, editoriali approfonditi e anteprime uniche nel loro genere.
