T-Mobile Bug Exposed Privat kundkonto Detaljer

t-mobile

På grund av ett fel på T-Mobiles webbplats i april lämnades kunders kontoinformation tillgänglig för alla att se, Det rapporterar ZDnet. Även om säkerhetsbristen sedan har åtgärdats, kan personlig information potentiellt ha missbrukats av alla som visste var de skulle leta.

Underdomänen — promotool.t-mobile.com — är en kundtjänstportal för anställda att få tillgång till interna verktyg. Men buggen gjorde det lätt att hitta det via sökmotorer och krävde inget lösenord för att komma åt verktygen.

Rekommenderade videor

Felet berodde på ett dolt API - det gav T-Mobile kunddata genom att lägga till kundens mobiltelefonnummer i slutet av webbadressen. Dessa uppgifter inkluderade en kunds faktureringskontonummer, postadress och kontoinformation, till exempel som status för deras räkningar, inklusive om tjänsten för ett konto avbröts eller en räkning är förfallen. För vissa var kundkontons PIN-kod och skatte-ID-nummer också tillgängliga.

Relaterad

  • 5G-hastighetsloppet är över och T-Mobile har vunnit
  • T-Mobiles 5G är fortfarande oöverträffad - men har hastigheterna sjunkit?
  • Här är en annan stor anledning till varför T-Mobile 5G dominerar AT&T och Verizon

API: et drogs av T-Mobile en dag efter att det rapporterades av säkerhetsforskaren Ryan Stevenson, som också tilldelades en $1 000 buggpremie senare. Även om det inte är klart hur länge API: et var exponerat, sa en talesperson för T-Mobile till ZDnet att det inte finns några bevis för att någon kundinformation har nåtts.

Detta är är inte första gången ett sådant här problem har hänt med T-Mobile. I oktober tillät ett säkerhetsbrist hackare att få tillgång till liknande information via en T-Mobiles webbplats. Hackare kunde få e-postadresser, kontonummer och mer, helt enkelt genom att använda kundens telefonnummer.

Felet upptäcktes av säkerhetsforskaren Karan Saini, och det gjorde det möjligt för hackare att få information om det skulle sedan kunna användas i en social ingenjörsattack, samt ge tillgång till annan personlig information uppkopplad. T-Mobile hävdade att felet bara påverkade en liten mängd kunder och att det åtgärdades inom 24 timmar efter att det upptäcktes.

Nyheten om det senaste felet kommer lite mindre än en månad efter sammanslagningen med T-Mobile och Sprint tillkännagavs — vilket också var i april. Även om båda operatörerna kom överens om att slå samman företag, har vi ännu inte se om det amerikanska justitiedepartementet kommer att godkänna det.

Redaktörens rekommendationer

  • T-Mobiles enorma ledning inom 5G-hastigheter kommer inte någonstans
  • T-Mobiles senaste planer är spännande för nya (och gamla) kunder
  • T-Mobile-prenumeranter kan få MLS Season Pass gratis
  • T-Mobile drabbas av massiva dataintrång … igen
  • T-Mobile lämnar AT&T och Verizon i 5G-dammet

Uppgradera din livsstilDigitala trender hjälper läsare att hålla koll på den snabba teknikvärlden med alla de senaste nyheterna, roliga produktrecensioner, insiktsfulla redaktioner och unika smygtittar.