Через помилку на веб-сайті T-Mobile у квітні інформація про облікові записи клієнтів була доступна для будь-кого, Про це повідомляє ZDnet. Незважаючи на те, що недолік безпеки було виправлено, особиста інформація потенційно могла бути зловживана будь-ким, хто знав, де шукати.
Субдомен — promotool.t-mobile.com — це портал обслуговування клієнтів, який дозволяє співробітникам отримати доступ до внутрішніх інструментів. Але помилка дозволяла легко знайти його через пошукові системи та не вимагала пароля для доступу до інструментів.
Рекомендовані відео
Помилка виникла через прихований API — він надавав дані про клієнтів T-Mobile, додаючи номер мобільного телефону клієнта в кінці веб-адреси. Ці дані включали номер платіжного рахунку клієнта, поштову адресу та інформацію про обліковий запис, наприклад статус їхніх рахунків, у тому числі якщо обслуговування облікового запису призупинено або рахунок прострочено. Для деяких також були доступні PIN-коди облікових записів клієнтів і податкові ідентифікаційні номери.
Пов'язані
- Гонка за швидкістю 5G закінчилася, і T-Mobile переміг
- 5G від T-Mobile все ще не має собі рівних — але чи швидкість стала плато?
- Ось ще одна вагома причина, чому T-Mobile 5G домінує над AT&T і Verizon
T-Mobile скасував API через день після того, як про це повідомив дослідник безпеки Раян Стівенсон, який пізніше також отримав винагороду за помилки в розмірі 1000 доларів. Хоча незрозуміло, як довго API був відкритий, представник T-Mobile сказав ZDnet, що немає жодних доказів доступу до інформації про клієнтів.
Це не вперше така проблема сталася з T-Mobile. У жовтні недолік безпеки дозволив хакерам отримати доступ до подібної інформації через веб-сайт T-Mobile. Хакерам вдалося отримати адреси електронної пошти, номери рахунків тощо, просто використовуючи номер телефону клієнта.
Пролом виявив дослідник безпеки Каран Сайні, і це дозволило хакерам отримати цю інформацію потім можна було використати в атаці соціальної інженерії, а також надати доступ до іншої особистої інформації онлайн. T-Mobile стверджував, що помилка торкнулася лише невеликої кількості клієнтів і що її було виправлено протягом 24 годин після виявлення.
Новини про останню помилку з’явилися трохи менше ніж через місяць злиття з T-Mobile і Sprint було оголошено — це також було в квітні. Хоча обидва перевізники домовилися про об’єднання компаній, ми ще не побачимо, чи схвалить це Міністерство юстиції США.
Рекомендації редакції
- Величезне лідерство T-Mobile у швидкості 5G нікуди не подінеться
- Найновіші плани T-Mobile захоплюють нових (і старих) клієнтів
- Абоненти T-Mobile можуть отримати MLS Season Pass безкоштовно
- T-Mobile знову зазнає масштабного витоку даних
- T-Mobile залишає AT&T і Verizon у пилу 5G
Оновіть свій спосіб життяDigital Trends допомагає читачам стежити за динамічним світом технологій завдяки всім останнім новинам, цікавим оглядам продуктів, проникливим редакційним статтям і унікальним у своєму роді коротким оглядам.
