T-Mobile Online Tool позволяет любому получить информацию о клиенте с номером телефона
Для многих из нас наши смартфоны - это не просто способ общения с миром. Они содержат конфиденциальные данные и могут служить ключом к важным онлайн-счетам. По словам исследователя безопасности Райана Стивенсона, T-Mobile не воспринимал безопасность очень серьезно. Он оставил доступный поддомен в открытом Интернете, который предоставил бы информацию о клиенте любому, у кого был ваш номер телефона. Теперь отверстие было исправлено, но сайт, возможно, использовался для захвата учетных записей.
Домен, о котором идет речь, является promotool.t-mobile.com, который нигде не указан на веб-сайте T-Mobile. Тем не менее, в поиске Google легко вдаваться в dredge. Страница, используемая для размещения неограниченного API, обеспечивающего доступ к информации учетной записи пользователя. Вы можете ввести номер телефона и вернуть почти все данные учетной записи, связанные с ним.
Возвращенные данные включали полное имя клиента, почтовый адрес, номер счета, а в некоторых случаях даже часть идентификатора налога или номера социального страхования. Статус учетной записи также был указан на этой странице, включая примечания о просроченных платежах и приостановках счетов. В некоторых случаях данные также содержали ПИН-коды и вопросы безопасности, которые клиенты должны были бы подтвердить свою личность при поддержке. Со всеми этими данными было бы тривиально легко для кого-то захватить счета. Было так много информации, кто-то даже мог ее использовать, чтобы получить доступ к другим онлайн-счетам. Подумайте, как часто вас просят подтвердить адрес или последние несколько цифр вашего номера социального страхования.
Почему что-то подобное существует? Сайт Promotool должен использоваться только для внутренней поддержки клиентов. Но сайт не требовал входа в систему, и он был доступен из-за пределов корпоративной сети T-Mobile. После того, как Стивенсон сообщил об этой проблеме, T-Mobile предпринял шаги, чтобы закрыть API-интерфейс rogue и заблокировать веб-страницу. Если вы посещаете страницу промоутера сейчас, она требует учетных данных для входа.
Стивенсону была выплачена сумма в размере 1000 долларов за сообщение об ошибке, и это сделка для T-Mobile. Носитель изо всех сил пытался адресовать захват SIM-карты и переносить мошенничество, которое позволяет злоумышленникам украсть номера телефонов абонента. Это позволяет злоумышленникам извлекать двухфакторные коды аутентификации через SMS и переходить на важные онлайн-счета. Возможно, этот веб-портал помог сделать эти атаки более распространенными. Тем не менее, вы должны принять меры безопасности, такие как добавление ограничений на перенос номера в свою учетную запись. В системе T-Mobile может быть больше уязвимостей.
Читать далее
Предложения ET: BOGO на выбор iPhone и смартфонов Galaxy на T-Mobile
Вы и ваш партнер на рынке для нового смартфона? Готовы инвестировать в телефоны для своих детей? В настоящее время T-Mobile предлагает высокие скидки на новые телефоны от Apple и Samsung с квалифицированной торговлей.
FCC отслеживает сетевое взаимодействие T-Mobile с операцией Bitcoin Mining
Беспроводной спектр в США тщательно регулируется, чтобы избежать помех, поэтому мобильные операторы платят нос за лицензионные фрагменты эфиров. Естественно, T-Mobile был очень обеспокоен недавно, когда обнаружил серьезные помехи в своей сети в Бруклине.
T-Mobile и Sprint, наконец, объединяются
После долгих лет флирта T-Mobile и Sprint объявили, что они, наконец, готовы завязать узел.
US Mobile загружает скоростные снимки в 2018 году, T-Mobile Beats Verizon
Отчет Ookla за 2018 год о пропускной способности и производительности Интернета доступен, и он показывает существенную прибыль для всех основных операторов.