T-Mobile Online Tool позволяет любому получить информацию о клиенте с номером телефона

T-Mobile Online Tool позволяет любому получить информацию о клиенте с номером телефона

Для многих из нас наши смартфоны - это не просто способ общения с миром. Они содержат конфиденциальные данные и могут служить ключом к важным онлайн-счетам. По словам исследователя безопасности Райана Стивенсона, T-Mobile не воспринимал безопасность очень серьезно. Он оставил доступный поддомен в открытом Интернете, который предоставил бы информацию о клиенте любому, у кого был ваш номер телефона. Теперь отверстие было исправлено, но сайт, возможно, использовался для захвата учетных записей.

Домен, о котором идет речь, является promotool.t-mobile.com, который нигде не указан на веб-сайте T-Mobile. Тем не менее, в поиске Google легко вдаваться в dredge. Страница, используемая для размещения неограниченного API, обеспечивающего доступ к информации учетной записи пользователя. Вы можете ввести номер телефона и вернуть почти все данные учетной записи, связанные с ним.

Возвращенные данные включали полное имя клиента, почтовый адрес, номер счета, а в некоторых случаях даже часть идентификатора налога или номера социального страхования. Статус учетной записи также был указан на этой странице, включая примечания о просроченных платежах и приостановках счетов. В некоторых случаях данные также содержали ПИН-коды и вопросы безопасности, которые клиенты должны были бы подтвердить свою личность при поддержке. Со всеми этими данными было бы тривиально легко для кого-то захватить счета. Было так много информации, кто-то даже мог ее использовать, чтобы получить доступ к другим онлайн-счетам. Подумайте, как часто вас просят подтвердить адрес или последние несколько цифр вашего номера социального страхования.

Обновленная страница теперь запрашивает логин.
Обновленная страница теперь запрашивает логин.

Почему что-то подобное существует? Сайт Promotool должен использоваться только для внутренней поддержки клиентов. Но сайт не требовал входа в систему, и он был доступен из-за пределов корпоративной сети T-Mobile. После того, как Стивенсон сообщил об этой проблеме, T-Mobile предпринял шаги, чтобы закрыть API-интерфейс rogue и заблокировать веб-страницу. Если вы посещаете страницу промоутера сейчас, она требует учетных данных для входа.

Стивенсону была выплачена сумма в размере 1000 долларов за сообщение об ошибке, и это сделка для T-Mobile. Носитель изо всех сил пытался адресовать захват SIM-карты и переносить мошенничество, которое позволяет злоумышленникам украсть номера телефонов абонента. Это позволяет злоумышленникам извлекать двухфакторные коды аутентификации через SMS и переходить на важные онлайн-счета. Возможно, этот веб-портал помог сделать эти атаки более распространенными. Тем не менее, вы должны принять меры безопасности, такие как добавление ограничений на перенос номера в свою учетную запись. В системе T-Mobile может быть больше уязвимостей.

Читать далее

Телефонный договор Huawei с AT & T, как сообщается, был убит на основании политики

Предстоящая (и необъявленная) сделка с AT & T для продажи новой серии Mate 10 должна была стать началом толчка Huawei в Северной Америке, но сделка, как сообщается, развалилась в последнюю минуту после того, как AT & T получил холодные ноги, а некоторые источники указывают к политическому делу.

Стратегия LG Shifts, больше не будет выпускать ежегодные обновления телефонов

LG объявила о выходе из годового цикла выпуска телефонов, предпочитая сосредоточиться на сохранении форм-факторов в течение более длительного периода времени.

Патент Samsung показывает телефон с внутренней камерой

Apple лихо зарекомендовала себя с iPhone X, оставив остров без рамки в середине экрана для передних датчиков камеры. Samsung подала патент, который предлагает потенциальную альтернативу - смартфон с камерами и другими датчиками внутри дисплея.

Как стать менее зависимым от вашего телефона, который теперь умнее, чем вы

Мы вступили в эпоху программ, которые могут нас программировать, и с каждым днем ​​они становятся лучше. Узнайте, как защитить себя от «циклов обратной связи с дофамином».