Z powodu błędu na stronie internetowej T-Mobile, który miał miejsce w kwietniu, informacje o kontach klientów pozostały dostępne dla każdego, ZDnet podaje. Chociaż luka w zabezpieczeniach została już naprawiona, dane osobowe mogły zostać potencjalnie niewłaściwe wykorzystane przez każdego, kto wiedział, gdzie ich szukać.
Subdomena — promotool.t-mobile.com — to portal obsługi klienta, umożliwiający pracownikom dostęp do narzędzi wewnętrznych. Błąd umożliwiał jednak łatwe znalezienie go w wyszukiwarkach i nie wymagał hasła, aby uzyskać dostęp do narzędzi.
Polecane filmy
Błąd wynikał z ukrytego API — dostarczało dane klientów T-Mobile poprzez dodanie numeru telefonu komórkowego klienta na końcu adresu internetowego. Dane te obejmowały numer konta rozliczeniowego klienta, adres pocztowy i informacje o koncie, np jak stan ich rachunków, w tym czy obsługa rachunku została zawieszona lub czy rachunek jest przeterminowany. Dla niektórych dostępne były także PIN-y do kont klientów i numery NIP.
Powiązany
- Wyścig prędkości 5G dobiegł końca, a T-Mobile zwyciężył
- Sieć 5G T-Mobile wciąż nie ma sobie równych, ale czy prędkości się utrzymują?
- Oto kolejny ważny powód, dla którego T-Mobile 5G dominuje w AT&T i Verizon
Interfejs API został wycofany przez T-Mobile dzień po zgłoszeniu go przez badacza bezpieczeństwa Ryana Stevensona, który później również otrzymał nagrodę w wysokości 1000 dolarów za błąd. Chociaż nie jest jasne, jak długo interfejs API był ujawniany, rzecznik T-Mobile powiedział ZDnet, że nie ma dowodów na to, że uzyskano dostęp do jakichkolwiek informacji o klientach.
To jest to nie pierwszy raz podobny problem miał miejsce w T-Mobile. W październiku luka w zabezpieczeniach umożliwiła hakerom uzyskanie dostępu do podobnych informacji za pośrednictwem strony internetowej T-Mobile. Hakerzy byli w stanie uzyskać adresy e-mail, numery kont i inne dane, po prostu używając numeru telefonu klienta.
Luka została odkryta przez badacza bezpieczeństwa Karana Sainiego i umożliwiła hakerom zdobycie informacji można następnie wykorzystać w ataku socjotechnicznym, a także zapewnić dostęp do innych danych osobowych online. T-Mobile twierdził, że błąd dotyczył tylko niewielkiej liczby klientów i został naprawiony w ciągu 24 godzin od wykrycia.
Wiadomość o najnowszej usterce pojawia się nieco niecały miesiąc później fuzja z T-Mobile i Sprintem — co również miało miejsce w kwietniu. Choć obaj przewoźnicy zgodzili się na połączenie firm, nie wiemy jeszcze, czy Departament Sprawiedliwości USA wyrazi na to zgodę.
Zalecenia redaktorów
- Ogromna przewaga T-Mobile w prędkościach 5G nie zmierza donikąd
- Najnowsze plany T-Mobile są ekscytujące dla nowych (i starych) klientów
- Abonenci T-Mobile mogą otrzymać przepustkę sezonową MLS za darmo
- T-Mobile ponownie doświadcza masowego naruszenia bezpieczeństwa danych
- T-Mobile pozostawia AT&T i Verizon w kurzu 5G
Ulepsz swój styl życiaDigital Trends pomaga czytelnikom śledzić szybko rozwijający się świat technologii dzięki najnowszym wiadomościom, zabawnym recenzjom produktów, wnikliwym artykułom redakcyjnym i jedynym w swoim rodzaju zajawkom.
