T-Mobile Online Tool позволяет любому получить информацию о клиенте с номером телефона

T-Mobile Online Tool позволяет любому получить информацию о клиенте с номером телефона

Для многих из нас наши смартфоны - это не просто способ общения с миром. Они содержат конфиденциальные данные и могут служить ключом к важным онлайн-счетам. По словам исследователя безопасности Райана Стивенсона, T-Mobile не воспринимал безопасность очень серьезно. Он оставил доступный поддомен в открытом Интернете, который предоставил бы информацию о клиенте любому, у кого был ваш номер телефона. Теперь отверстие было исправлено, но сайт, возможно, использовался для захвата учетных записей.

Домен, о котором идет речь, является promotool.t-mobile.com, который нигде не указан на веб-сайте T-Mobile. Тем не менее, в поиске Google легко вдаваться в dredge. Страница, используемая для размещения неограниченного API, обеспечивающего доступ к информации учетной записи пользователя. Вы можете ввести номер телефона и вернуть почти все данные учетной записи, связанные с ним.

Возвращенные данные включали полное имя клиента, почтовый адрес, номер счета, а в некоторых случаях даже часть идентификатора налога или номера социального страхования. Статус учетной записи также был указан на этой странице, включая примечания о просроченных платежах и приостановках счетов. В некоторых случаях данные также содержали ПИН-коды и вопросы безопасности, которые клиенты должны были бы подтвердить свою личность при поддержке. Со всеми этими данными было бы тривиально легко для кого-то захватить счета. Было так много информации, кто-то даже мог ее использовать, чтобы получить доступ к другим онлайн-счетам. Подумайте, как часто вас просят подтвердить адрес или последние несколько цифр вашего номера социального страхования.

Обновленная страница теперь запрашивает логин.
Обновленная страница теперь запрашивает логин.

Почему что-то подобное существует? Сайт Promotool должен использоваться только для внутренней поддержки клиентов. Но сайт не требовал входа в систему, и он был доступен из-за пределов корпоративной сети T-Mobile. После того, как Стивенсон сообщил об этой проблеме, T-Mobile предпринял шаги, чтобы закрыть API-интерфейс rogue и заблокировать веб-страницу. Если вы посещаете страницу промоутера сейчас, она требует учетных данных для входа.

Стивенсону была выплачена сумма в размере 1000 долларов за сообщение об ошибке, и это сделка для T-Mobile. Носитель изо всех сил пытался адресовать захват SIM-карты и переносить мошенничество, которое позволяет злоумышленникам украсть номера телефонов абонента. Это позволяет злоумышленникам извлекать двухфакторные коды аутентификации через SMS и переходить на важные онлайн-счета. Возможно, этот веб-портал помог сделать эти атаки более распространенными. Тем не менее, вы должны принять меры безопасности, такие как добавление ограничений на перенос номера в свою учетную запись. В системе T-Mobile может быть больше уязвимостей.

Читать далее

Tesla в этом году получит 200 000 продаж, может ограничить налоговые кредиты модели 3
Tesla в этом году получит 200 000 продаж, может ограничить налоговые кредиты модели 3

Чем больше моделей 3 доставлено в этом году, тем больше людей получает полный налоговый кредит в размере 7 500 долларов США. Будет ли это 50 000 покупателей модели 3, 100 000, 150 000 или более?

Facebook: Cambridge Analytica получил данные о 87M пользователей
Facebook: Cambridge Analytica получил данные о 87M пользователей

Оценка основана на том, сколько пользователей взяло исходный опрос и сколько друзей у них было в то время.

Оригинальный Donkey Kong получил свой первый релиз на коммутаторе Nintendo
Оригинальный Donkey Kong получил свой первый релиз на коммутаторе Nintendo

Если вы жаждете этого оригинального опыта Donkey Kong, он доступен впервые за много десятилетий.

Вскоре вы не получите налоговый кредит для покупки Tesla или GM EV Anymore
Вскоре вы не получите налоговый кредит для покупки Tesla или GM EV Anymore

Ознакомьтесь с нашим руководством покупателей EV, чтобы воспользоваться налоговым кредитом. В этом году Tesla и GM попадут в курок. Кредит заканчивается, а затем заканчивается через 15-18 месяцев после того, как автопроизводитель продает 200 000 EV и PHEV.