Dėl balandį „T-Mobile“ svetainėje įvykusios klaidos klientų paskyros informacija buvo prieinama visiems, ZDnet praneša. Nors saugumo trūkumas nuo to laiko buvo ištaisytas, bet kas, žinantis, kur ieškoti, galėjo piktnaudžiauti asmenine informacija.
Subdomenas - promotool.t-mobile.com — yra klientų aptarnavimo portalas, skirtas darbuotojams pasiekti vidinius įrankius. Tačiau klaida leido ją lengvai rasti per paieškos variklius ir nereikėjo slaptažodžio norint pasiekti įrankius.
Rekomenduojami vaizdo įrašai
Trūkumas atsirado dėl paslėptos API – ji pateikė T-Mobile klientų duomenis, žiniatinklio adreso pabaigoje pridėdama kliento mobiliojo telefono numerį. Šie duomenys apėmė kliento atsiskaitomosios sąskaitos numerį, pašto adresą ir paskyros informaciją, pvz kaip jų sąskaitų būseną, įskaitant tuos atvejus, kai sąskaitos paslauga buvo sustabdyta arba sąskaita vėluojama. Kai kuriems klientams taip pat buvo prieinami klientų paskyros PIN kodai ir mokesčių mokėtojo kodai.
Susijęs
- 5G greičio lenktynės baigėsi ir „T-Mobile“ laimėjo
- „T-Mobile“ 5G vis dar neprilygsta, bet ar greitis sumažėjo?
- Štai dar viena svarbi priežastis, kodėl „T-Mobile 5G“ dominuoja „AT&T“ ir „Verizon“.
API ištraukė „T-Mobile“ kitą dieną po to, kai apie tai pranešė saugumo tyrinėtojas Ryanas Stevensonas, kuris vėliau taip pat buvo apdovanotas 1000 USD premija už klaidas. Nors neaišku, kiek laiko buvo veikiama API, „T-Mobile“ atstovas ZDnet sakė, kad nėra įrodymų, kad buvo gauta kokia nors klientų informacija.
Tai yra ne pirmas kartas tokia problema nutiko „T-Mobile“. Spalio mėn. saugumo spraga leido įsilaužėliams gauti prieigą prie panašios informacijos per T-Mobile svetainę. Įsilaužėliai galėjo gauti el. pašto adresus, sąskaitų numerius ir daugiau, tiesiog naudodami kliento telefono numerį.
Trūką aptiko saugumo tyrinėtojas Karanas Saini, ir tai leido įsilaužėliams gauti tokią informaciją vėliau galėtų būti panaudota socialinei inžinerijos atakai, taip pat suteikta prieiga prie kitos asmeninės informacijos prisijungęs. „T-Mobile“ teigė, kad klaida paveikė tik nedidelį klientų skaičių ir kad ji buvo ištaisyta per 24 valandas nuo aptikimo.
Žinia apie naujausią trūkumą ateina šiek tiek mažiau nei po mėnesio susijungimas su T-Mobile ir Sprint buvo paskelbta – tai taip pat buvo balandžio mėn. Nors abu vežėjai susitarė dėl įmonių sujungimo, dar turime pamatyti, ar JAV teisingumo departamentas tai patvirtins.
Redaktorių rekomendacijos
- Didžiulis „T-Mobile“ pranašumas 5G spartos srityje niekur nedingsta
- Naujausi „T-Mobile“ planai yra įdomūs naujiems (ir seniems) klientams
- „T-Mobile“ abonentai gali nemokamai gauti „MLS Season Pass“.
- „T-Mobile“ vėl patiria didžiulį duomenų pažeidimą
- „T-Mobile“ palieka „AT&T“ ir „Verizon“ 5G dulkėse
Atnaujinkite savo gyvenimo būdąSkaitmeninės tendencijos padeda skaitytojams stebėti sparčiai besivystantį technologijų pasaulį – pateikiamos visos naujausios naujienos, smagios produktų apžvalgos, įžvalgūs vedamieji leidiniai ir unikalūs žvilgsniai.