T-Mobile Online Tool позволяет любому получить информацию о клиенте с номером телефона
Для многих из нас наши смартфоны - это не просто способ общения с миром. Они содержат конфиденциальные данные и могут служить ключом к важным онлайн-счетам. По словам исследователя безопасности Райана Стивенсона, T-Mobile не воспринимал безопасность очень серьезно. Он оставил доступный поддомен в открытом Интернете, который предоставил бы информацию о клиенте любому, у кого был ваш номер телефона. Теперь отверстие было исправлено, но сайт, возможно, использовался для захвата учетных записей.
Домен, о котором идет речь, является promotool.t-mobile.com, который нигде не указан на веб-сайте T-Mobile. Тем не менее, в поиске Google легко вдаваться в dredge. Страница, используемая для размещения неограниченного API, обеспечивающего доступ к информации учетной записи пользователя. Вы можете ввести номер телефона и вернуть почти все данные учетной записи, связанные с ним.
Возвращенные данные включали полное имя клиента, почтовый адрес, номер счета, а в некоторых случаях даже часть идентификатора налога или номера социального страхования. Статус учетной записи также был указан на этой странице, включая примечания о просроченных платежах и приостановках счетов. В некоторых случаях данные также содержали ПИН-коды и вопросы безопасности, которые клиенты должны были бы подтвердить свою личность при поддержке. Со всеми этими данными было бы тривиально легко для кого-то захватить счета. Было так много информации, кто-то даже мог ее использовать, чтобы получить доступ к другим онлайн-счетам. Подумайте, как часто вас просят подтвердить адрес или последние несколько цифр вашего номера социального страхования.
Почему что-то подобное существует? Сайт Promotool должен использоваться только для внутренней поддержки клиентов. Но сайт не требовал входа в систему, и он был доступен из-за пределов корпоративной сети T-Mobile. После того, как Стивенсон сообщил об этой проблеме, T-Mobile предпринял шаги, чтобы закрыть API-интерфейс rogue и заблокировать веб-страницу. Если вы посещаете страницу промоутера сейчас, она требует учетных данных для входа.
Стивенсону была выплачена сумма в размере 1000 долларов за сообщение об ошибке, и это сделка для T-Mobile. Носитель изо всех сил пытался адресовать захват SIM-карты и переносить мошенничество, которое позволяет злоумышленникам украсть номера телефонов абонента. Это позволяет злоумышленникам извлекать двухфакторные коды аутентификации через SMS и переходить на важные онлайн-счета. Возможно, этот веб-портал помог сделать эти атаки более распространенными. Тем не менее, вы должны принять меры безопасности, такие как добавление ограничений на перенос номера в свою учетную запись. В системе T-Mobile может быть больше уязвимостей.
Читать далее
Новый macOS Security Bug разблокирует App Store с любым паролем
MacOS High Sierra от Apple имеет недостаток в последней версии, которая позволяет администраторам обойти заблокированный магазин приложений, введя любой пароль, который им нравится.
На выставке CES 2018 в центре внимания Digital Health Took
Малые и крупные компании используют потребительские технологии для обеспечения новых моделей и расширения возможностей людей контролировать и управлять своим здоровьем и здоровьем. Вот наши фавориты, которые хотят встряхнуть статус-кво.
AutoML Google создает модели машинного обучения без опыта программирования
Суть Cloud AutoML заключается в том, что почти каждый может принести каталог изображений, импортировать теги для изображений и создать на основе этого функциональную модель машинного обучения.
TSMC: Суперкомпьютер, AI Will Drive Semiconductor Business, Not Phones
На протяжении последних нескольких часов телефоны занимались полупроводниковой промышленностью, но TSMC считает, что это происходит, учитывая рынок HPC.