T-Mobile Online Tool позволяет любому получить информацию о клиенте с номером телефона
Для многих из нас наши смартфоны - это не просто способ общения с миром. Они содержат конфиденциальные данные и могут служить ключом к важным онлайн-счетам. По словам исследователя безопасности Райана Стивенсона, T-Mobile не воспринимал безопасность очень серьезно. Он оставил доступный поддомен в открытом Интернете, который предоставил бы информацию о клиенте любому, у кого был ваш номер телефона. Теперь отверстие было исправлено, но сайт, возможно, использовался для захвата учетных записей.
Домен, о котором идет речь, является promotool.t-mobile.com, который нигде не указан на веб-сайте T-Mobile. Тем не менее, в поиске Google легко вдаваться в dredge. Страница, используемая для размещения неограниченного API, обеспечивающего доступ к информации учетной записи пользователя. Вы можете ввести номер телефона и вернуть почти все данные учетной записи, связанные с ним.
Возвращенные данные включали полное имя клиента, почтовый адрес, номер счета, а в некоторых случаях даже часть идентификатора налога или номера социального страхования. Статус учетной записи также был указан на этой странице, включая примечания о просроченных платежах и приостановках счетов. В некоторых случаях данные также содержали ПИН-коды и вопросы безопасности, которые клиенты должны были бы подтвердить свою личность при поддержке. Со всеми этими данными было бы тривиально легко для кого-то захватить счета. Было так много информации, кто-то даже мог ее использовать, чтобы получить доступ к другим онлайн-счетам. Подумайте, как часто вас просят подтвердить адрес или последние несколько цифр вашего номера социального страхования.
Почему что-то подобное существует? Сайт Promotool должен использоваться только для внутренней поддержки клиентов. Но сайт не требовал входа в систему, и он был доступен из-за пределов корпоративной сети T-Mobile. После того, как Стивенсон сообщил об этой проблеме, T-Mobile предпринял шаги, чтобы закрыть API-интерфейс rogue и заблокировать веб-страницу. Если вы посещаете страницу промоутера сейчас, она требует учетных данных для входа.
Стивенсону была выплачена сумма в размере 1000 долларов за сообщение об ошибке, и это сделка для T-Mobile. Носитель изо всех сил пытался адресовать захват SIM-карты и переносить мошенничество, которое позволяет злоумышленникам украсть номера телефонов абонента. Это позволяет злоумышленникам извлекать двухфакторные коды аутентификации через SMS и переходить на важные онлайн-счета. Возможно, этот веб-портал помог сделать эти атаки более распространенными. Тем не менее, вы должны принять меры безопасности, такие как добавление ограничений на перенос номера в свою учетную запись. В системе T-Mobile может быть больше уязвимостей.
Читать далее
Сяоми обгоняет Apple, чтобы стать производителем номера 2 в мире смартфона
Это оставляет Samsung, чтобы сражаться с Сяоми для верхнего пятна. Исходя из впечатляющих темпов роста компании, это может быть только вопрос времени, прежде чем он также обгоняет Samsung.
Гражданин Астрономер обнаруживает древнюю неудачу звезды с неожиданными свойствами
Астрономы заметили около 2000 так называемых «коричневых карликов», объектам, которые десятки раз больше, чем Юпитер, но не достаточно велико, чтобы забить устойчивую реакцию слияния. Теперь мы обнаружили, что могут научить нас о рассвете вселенной, и это прямо на нашем космическом дворе.
Маск заключает сделку в Твиттере, пока не доканет номера ботов
Через несколько недель после того, как после того, как он написал путь к предварительному соглашению о покупке сайта социальной сети за 44 миллиарда долларов, Маск теперь ставит под сомнение сделку (через твит), заявив, что ему сначала необходимо проверить количество ботов в Твиттере, на самом деле так же низка, как утверждает.
Невыпущенная гарнитура Meta's Project Cambria якобы найдена в гостиничном номере
Кто -то, как сообщается, оставил предстоящего преемника Quest 2 в гостиничном номере, который лишь немного хуже, чем оставить его в баре, а ля iPhone 4. Некоторые изображения и видео устройства теперь разделены в Интернете, демонстрируя новую «Мета Quest Pro Branding.