4 月に T-Mobile の Web サイトにバグがあったため、顧客のアカウント情報は誰でも閲覧できる状態になっていました。 ZDnetのレポート. その後、セキュリティ上の欠陥は修正されましたが、個人情報はどこを調べればよいかを知っている人によって悪用される可能性があります。
サブドメイン — promotool.t-mobile.com — 従業員が内部ツールにアクセスするためのカスタマー ケア ポータルです。 しかし、このバグにより検索エンジンで簡単に発見できるようになり、ツールにアクセスするのにパスワードは必要ありませんでした。
おすすめ動画
この欠陥は、隠された API が原因でした。この API は、顧客の携帯電話番号を Web アドレスの末尾に追加することで、T-Mobile の顧客データを提供していました。 このデータには、顧客の請求先口座番号、住所、アカウント情報が含まれます。 アカウントのサービスが一時停止されているか、請求書の支払い期限が過ぎているかなど、請求書のステータス。 一部では、顧客アカウントの PIN や納税者 ID 番号にもアクセスできました。
関連している
- 5Gの速度競争は終わり、T-Mobileが勝利した
- T-Mobile の 5G は依然として比類のないものですが、速度は頭打ちになっていますか?
- T-Mobile 5G が AT&T と Verizon を圧倒するもう 1 つの大きな理由がここにあります
この API は、セキュリティ研究者の Ryan Stevenson 氏によって報告された翌日に T-Mobile によって削除されました。彼には、後に 1,000 ドルのバグ報奨金も授与されました。 APIがどのくらいの期間公開されていたかは明らかではないが、T-Mobileの広報担当者はZDnetに対し、顧客情報がアクセスされた形跡はないと語った。
これは 初めてではない このような問題が T-Mobile で発生しました。 10 月には、セキュリティ上の欠陥により、ハッカーが T-Mobile の Web サイトを通じて同様の情報にアクセスできるようになりました。 ハッカーは顧客の電話番号を使用するだけで、電子メール アドレスや口座番号などを入手できました。
この欠陥はセキュリティ研究者のカラン・サイニによって発見され、ハッカーが次のような情報を入手することを可能にしました。 その後、ソーシャル エンジニアリング攻撃に使用されたり、他の個人情報へのアクセスが提供される可能性があります。 オンライン。 T-Mobileは、このバグは少数の顧客にのみ影響し、発見から24時間以内に修正されたと主張した。
最新の欠陥に関するニュースはそれから 1 か月も経たないうちに発表されました。 合併 T-Mobile と Sprint との提携が発表されましたが、これも 4 月でした。 両航空会社は会社統合に合意したが、米司法省がそれを承認するかどうかはまだ分からない。
編集者のおすすめ
- 5G 速度における T-Mobile の大きなリードはどこにも行かない
- T-Mobile の最新プランは新規 (および従来の) 顧客にとって魅力的です
- T-Mobile加入者はMLSシーズンパスを無料で入手できます
- T-Mobile が大規模なデータ侵害に見舞われる…再び
- T-MobileはAT&TとVerizonを5Gの塵に残す
ライフスタイルをアップグレードするDigital Trends は、読者が最新ニュース、楽しい製品レビュー、洞察力に富んだ社説、ユニークなスニーク ピークをすべて提供して、ペースの速いテクノロジーの世界を監視するのに役立ちます。
