지난 4월 T-Mobile 웹사이트의 버그로 인해 고객의 계정 정보를 누구나 볼 수 있도록 남겨두었습니다. ZDnet 보고서. 이후 보안 결함은 수정되었지만 개인 정보는 어디를 봐야 할지 아는 사람에 의해 오용될 가능성이 있었습니다.
하위 도메인 — promotool.t-mobile.com — 직원이 내부 도구에 액세스할 수 있는 고객 관리 포털입니다. 하지만 이 버그로 인해 검색 엔진을 통해 쉽게 찾을 수 있었고 도구에 액세스하는 데 비밀번호가 필요하지 않았습니다.
추천 동영상
이 결함은 숨겨진 API로 인해 발생했습니다. 웹 주소 끝에 고객의 휴대폰 번호를 추가하여 T-Mobile 고객 데이터를 제공했습니다. 이 데이터에는 고객의 청구 계좌 번호, 우편 주소 및 계정 정보가 포함되었습니다. 계정에 대한 서비스가 일시 중지되었거나 청구서 연체 여부를 포함하여 청구서 상태. 일부의 경우 고객 계정 PIN과 세금 ID 번호에도 액세스할 수 있었습니다.
관련된
- 5G 속도 경쟁은 끝났고 T모바일이 승리했다
- T-Mobile의 5G는 여전히 타의 추종을 불허합니다. 하지만 속도는 정체 상태에 있습니까?
- T-Mobile 5G가 AT&T와 Verizon을 장악한 또 다른 큰 이유는 다음과 같습니다.
이 API는 보안 연구원 라이언 스티븐슨(Ryan Stevenson)이 보고한 지 하루 만에 T-Mobile에 의해 제거되었으며, 나중에 $1,000의 버그 현상금도 받았습니다. API가 얼마나 오랫동안 노출되었는지는 확실하지 않지만 T-Mobile 대변인은 ZDnet에 고객 정보에 액세스했다는 증거가 없다고 말했습니다.
이것은 처음이 아니야 T-Mobile에서 이와 같은 문제가 발생했습니다. 지난 10월에는 보안 결함으로 인해 해커가 T-Mobile 웹사이트를 통해 유사한 정보에 접근할 수 있었습니다. 해커는 고객의 전화번호만 이용해 이메일 주소, 계좌번호 등을 알아낼 수 있었다.
이 결함은 보안 연구원 Karan Saini에 의해 발견되었으며, 이를 통해 해커는 다음과 같은 정보를 얻을 수 있었습니다. 그런 다음 사회 공학 공격에 사용될 수 있을 뿐만 아니라 다른 개인 정보에 대한 액세스도 제공될 수 있습니다. 온라인. T-Mobile은 이 버그가 소수의 고객에게만 영향을 미쳤으며 발견 후 24시간 이내에 수정되었다고 주장했습니다.
가장 최근의 결함에 대한 소식은 한 달도 채 지나지 않아 나옵니다. 합병 T-Mobile 및 Sprint와 함께 발표되었으며, 이 역시 4월에 발표되었습니다. 두 항공사 모두 회사 결합에 동의했지만 미국 법무부가 승인할지 여부는 아직 확인되지 않았습니다.
편집자의 추천
- 5G 속도에서 T-Mobile의 엄청난 선두는 아무데도 가지 않을 것입니다
- T-Mobile의 최신 계획은 신규(및 기존) 고객에게 흥미로울 것입니다.
- T-Mobile 가입자는 MLS Season Pass를 무료로 받을 수 있습니다.
- T-Mobile은 대규모 데이터 침해를 겪었습니다…
- T-Mobile은 5G 시대에 AT&T와 Verizon을 떠납니다.
당신의 라이프스타일을 업그레이드하세요Digital Trends는 독자들이 모든 최신 뉴스, 재미있는 제품 리뷰, 통찰력 있는 사설 및 독특한 미리보기를 통해 빠르게 변화하는 기술 세계를 계속해서 살펴볼 수 있도록 도와줍니다.
