Als gevolg van een bug op de website van T-Mobile in april waren de accountgegevens van klanten voor iedereen toegankelijk. ZDnet-rapporten. Hoewel het beveiligingslek inmiddels is verholpen, hadden persoonlijke gegevens mogelijk kunnen worden misbruikt door iedereen die wist waar hij moest zoeken.
Het subdomein — promotool.t-mobile.com — is een klantenzorgportaal waar medewerkers toegang hebben tot interne tools. Maar door de bug kon het gemakkelijk worden gevonden via zoekmachines en was er geen wachtwoord nodig om toegang te krijgen tot de tools.
Aanbevolen video's
De fout was te wijten aan een verborgen API: deze leverde klantgegevens van T-Mobile op door het mobiele telefoonnummer van de klant aan het einde van het webadres toe te voegen. Deze gegevens omvatten het factureringsaccountnummer, het postadres en de accountgegevens van een klant zoals de status van hun facturen, inclusief of de service voor een account is opgeschort of een factuur achterstallig is. Voor sommigen waren ook de pincodes van klantaccounts en belastingnummers toegankelijk.
Verwant
- De 5G-snelheidsrace is voorbij en T-Mobile heeft gewonnen
- De 5G van T-Mobile is nog steeds ongeëvenaard – maar zijn de snelheden gestabiliseerd?
- Hier is nog een belangrijke reden waarom T-Mobile 5G AT&T en Verizon domineert
De API werd door T-Mobile verwijderd een dag nadat deze was gerapporteerd door beveiligingsonderzoeker Ryan Stevenson, die later ook een bugbount van $ 1.000 ontving. Hoewel het niet duidelijk is hoe lang de API zichtbaar was, vertelde een woordvoerder van T-Mobile aan ZDnet dat er geen bewijs is dat er toegang is verkregen tot klantgegevens.
Dit is is niet de eerste keer een probleem als dit is bij T-Mobile gebeurd. In oktober zorgde een beveiligingsfout ervoor dat hackers via een T-Mobile-website toegang konden krijgen tot soortgelijke informatie. Hackers konden e-mailadressen, rekeningnummers en meer achterhalen door simpelweg het telefoonnummer van de klant te gebruiken.
De fout werd ontdekt door beveiligingsonderzoeker Karan Saini en stelde hackers in staat informatie te verkrijgen kunnen vervolgens worden gebruikt bij een social engineering-aanval en kunnen toegang verschaffen tot andere persoonlijke informatie online. T-Mobile beweerde dat de bug slechts een klein aantal klanten trof en dat deze binnen 24 uur na ontdekking was verholpen.
Het nieuws over de meest recente fout komt iets minder dan een maand later de fusie met T-Mobile en Sprint werd aangekondigd – ook in april. Hoewel beide luchtvaartmaatschappijen het eens waren over het samenvoegen van bedrijven, moeten we nog zien of het Amerikaanse ministerie van Justitie dit zal goedkeuren.
Aanbevelingen van de redactie
- De enorme voorsprong van T-Mobile op het gebied van 5G-snelheden gaat nergens heen
- De nieuwste abonnementen van T-Mobile zijn spannend voor nieuwe (en oude) klanten
- T-Mobile-abonnees kunnen gratis de MLS Season Pass krijgen
- T-Mobile lijdt opnieuw aan een groot datalek
- T-Mobile laat AT&T en Verizon achter in het 5G-stof
Upgrade uw levensstijlMet Digital Trends kunnen lezers de snelle technische wereld in de gaten houden met het laatste nieuws, leuke productrecensies, inzichtelijke redactionele artikelen en unieke sneak peeks.
