เนื่องจากข้อบกพร่องในเว็บไซต์ของ T-Mobile ในเดือนเมษายน ข้อมูลบัญชีของลูกค้าจึงถูกปล่อยให้ทุกคนเห็นได้ ZDnet รายงาน. แม้ว่าข้อบกพร่องด้านความปลอดภัยจะได้รับการแก้ไขแล้ว แต่ข้อมูลส่วนบุคคลอาจถูกนำไปใช้ในทางที่ผิดโดยใครก็ตามที่รู้ว่าจะต้องดูที่ไหน
โดเมนย่อย — promotool.t-mobile.com — เป็นพอร์ทัลการดูแลลูกค้าสำหรับพนักงานในการเข้าถึงเครื่องมือภายใน แต่ข้อบกพร่องดังกล่าวทำให้สามารถค้นหาได้ง่ายผ่านเครื่องมือค้นหาและไม่ต้องใช้รหัสผ่านเพื่อเข้าถึงเครื่องมือ
วิดีโอแนะนำ
ข้อบกพร่องนี้เกิดจาก API ที่ซ่อนอยู่ โดยให้ข้อมูลลูกค้า T-Mobile โดยเพิ่มหมายเลขโทรศัพท์มือถือของลูกค้าที่ส่วนท้ายของที่อยู่เว็บ ข้อมูลนี้ประกอบด้วยหมายเลขบัญชีสำหรับการเรียกเก็บเงินของลูกค้า ที่อยู่ทางไปรษณีย์ และข้อมูลบัญชี เป็นต้น สถานะของใบเรียกเก็บเงิน รวมถึงหากบริการสำหรับบัญชีถูกระงับหรือเกินกำหนดชำระ สำหรับบางคน สามารถเข้าถึง PIN บัญชีลูกค้าและหมายเลขประจำตัวผู้เสียภาษีได้เช่นกัน
ที่เกี่ยวข้อง
- การแข่งขันความเร็ว 5G สิ้นสุดลงแล้ว และ T-Mobile ได้รับชัยชนะ
- 5G ของ T-Mobile ยังคงไม่มีใครเทียบได้ – แต่มีความเร็วที่ราบสูงใช่ไหม
- นี่เป็นอีกเหตุผลสำคัญที่ทำให้ T-Mobile 5G ครอง AT&T และ Verizon
API นี้ถูกดึงโดย T-Mobile หนึ่งวันหลังจากรายงานโดย Ryan Stevenson นักวิจัยด้านความปลอดภัย ซึ่งได้รับรางวัลค่าหัวข้อบกพร่องมูลค่า 1,000 ดอลลาร์ในเวลาต่อมา แม้ว่าจะไม่ชัดเจนว่า API ถูกเปิดเผยมานานแค่ไหน แต่โฆษกของ T-Mobile บอกกับ ZDnet ว่าไม่มีหลักฐานว่ามีการเข้าถึงข้อมูลลูกค้า
นี่คือ ไม่ใช่ครั้งแรก ปัญหาเช่นนี้เกิดขึ้นกับ T-Mobile ในเดือนตุลาคม ข้อบกพร่องด้านความปลอดภัยทำให้แฮกเกอร์สามารถเข้าถึงข้อมูลที่คล้ายกันผ่านทางเว็บไซต์ T-Mobile แฮกเกอร์สามารถรับที่อยู่อีเมล หมายเลขบัญชี และอื่นๆ เพียงใช้หมายเลขโทรศัพท์ของลูกค้า
ข้อบกพร่องนี้ถูกค้นพบโดยนักวิจัยด้านความปลอดภัย Karan Saini และอนุญาตให้แฮกเกอร์ได้รับข้อมูลดังกล่าว สามารถนำมาใช้ในการโจมตีทางวิศวกรรมสังคมได้ เช่นเดียวกับการให้สิทธิ์ในการเข้าถึงข้อมูลส่วนบุคคลอื่นๆ ออนไลน์ T-Mobile อ้างว่าข้อผิดพลาดดังกล่าวส่งผลกระทบต่อลูกค้าจำนวนเล็กน้อยเท่านั้น และได้รับการแก้ไขภายใน 24 ชั่วโมงหลังจากถูกค้นพบ
ข่าวข้อบกพร่องล่าสุดมาน้อยกว่าหนึ่งเดือนหลังจากนั้น การควบรวมกิจการ ด้วย T-Mobile และ Sprint ได้รับการประกาศ – ซึ่งเป็นในเดือนเมษายนเช่นกัน แม้ว่าสายการบินทั้งสองจะตกลงที่จะรวมบริษัทเข้าด้วยกัน แต่เรายังไม่ทราบว่ากระทรวงยุติธรรมสหรัฐฯ จะอนุมัติหรือไม่
คำแนะนำของบรรณาธิการ
- ความเป็นผู้นำอย่างมากของ T-Mobile ในด้านความเร็ว 5G ไม่ได้หายไปไหน
- แผนใหม่ล่าสุดของ T-Mobile นั้นน่าตื่นเต้นสำหรับลูกค้าใหม่ (และเก่า)
- สมาชิก T-Mobile สามารถรับ MLS Season Pass ได้ฟรี
- T-Mobile ประสบกับการละเมิดข้อมูลครั้งใหญ่ … อีกครั้ง
- T-Mobile กำลังทิ้ง AT&T และ Verizon ไว้ในฝุ่น 5G
อัพเกรดไลฟ์สไตล์ของคุณDigital Trends ช่วยให้ผู้อ่านติดตามโลกแห่งเทคโนโลยีที่เปลี่ยนแปลงไปอย่างรวดเร็วด้วยข่าวสารล่าสุด รีวิวผลิตภัณฑ์สนุกๆ บทบรรณาธิการที่เจาะลึก และการแอบดูที่ไม่ซ้ำใคร
