T-Mobile Online Tool Нехай хто-небудь отримує інформацію про клієнтів за номером телефону
Для багатьох з нас наші смартфони - це не просто спосіб спілкування з світом. Вони містять конфіденційні дані і можуть слугувати ключем до важливих онлайн-облікових записів. За словами дослідника з безпеки Райана Стівенсона, T-Mobile не дуже серйозно ставився до безпеки. Він залишив субдомен доступним у відкритому інтернеті, який міг би надати інформацію про клієнтів будь-кому, хто мав ваш номер телефону. Дірка була виправлена зараз, але сайт, можливо, був використаний для викрадення облікових записів.
Реєстраційний домен - це програма promotool.t-mobile.com, яка не перелічена в будь-якому місці на веб-сайті T-Mobile. Тим не менш, його легко видобути в пошуку Google. Сторінка, яка використовується для розміщення необмеженого API, що надає доступ до інформації про обліковий запис користувача. Ви можете ввести номер телефону та повернути майже всі пов'язані з ним дані облікового запису.
Повертаються дані включають повне ім'я, поштову адресу, номер рахунку та, у деяких випадках, навіть частину ідентифікаційного номера або номера соціального страхування клієнта. На цій сторінці також повідомляється статус облікового запису, включаючи примітки про прострочені платежі та призупинення дії облікового запису. У деяких випадках дані також мали PIN-коди облікового запису та питання безпеки, які клієнтам доведеться перевіряти на їх ідентифікацію за допомогою підтримки. З усіма цими даними, комусь треба було б просто зловити облікові записи. Там було так багато інформації, хтось навіть міг використовувати його для отримання доступу до інших онлайнових облікових записів. Подумайте про те, як часто вас просять підтвердити за допомогою адреси або останніх кількох цифр номера вашого соціального страхування.
Чому навіть щось подібне існує? Веб-сайт промотулю повинен використовуватися лише для внутрішньої підтримки клієнтів. Але сайт не потребував входу до облікового запису, і він був доступний поза межами корпоративної мережі T-Mobile. Після того, як Стівенсон повідомив про проблему, T-Mobile зробив кроки, щоб закрити атакуючий API та блокувати веб-сторінку. Якщо ви зараз відвідуєте сторінку промотуля, воно вимагає реєстраційних даних для входу.
Стівенсону було виплачено 1,000 баунтів помилок для повідомлення про помилку, і це - угода для T-Mobile. Перевізник намагався виправити викрадення SIM-картки та вивозити шахраї, які дозволяють зловмисникам вкрасти телефонні номери абонентів. Це може дозволити зловмисникам витягувати двофакторні коди автентифікації через SMS та перерватись у важливі онлайн-рахунки. Цей веб-портал, мабуть, допомогло зробити ці атаки більш поширеними. Тим не менш, слід дотримуватися заходів безпеки, таких як додавання обмежень для перенесення номерів у ваш обліковий запис. Там може бути більше вразливостей, що ховаються в системі T-Mobile.
Читати далі
Chromebook отримують частку ринку, оскільки освіта переходить в Інтернет
Продажі Chromebook зросли в пандемії, продажі зросли на 90 відсотків, і очікується майбутнє зростання. Це ставить певні виклики для таких компаній, як Microsoft.
Експерименти МКС показують, що видобуток космосу отримує 400 відсотків від бактерій
Нам знадобиться багато сировини для підтримки людських зусиль на інших планетах, а новий проект на Міжнародній космічній станції демонструє, як ми можемо зробити космічну видобуток на 400 відсотків ефективнішою.
Процесори AMD Ryzen 5000 незабаром отримають адаптивне зниження напруги
AMD представить свою нову функцію Precision Boost Overclocking 2 з адаптивним недозволенням, починаючи з грудня. Ця функція буде обмежена процесорами Ryzen 5000.
Nvidia GeForce RTX 3060 Ti виходить на ринок 2 грудня, але щастя отримати
RTX 3060 Ti надійде у продаж лише за 399 доларів - він може бути навіть доступним після непристойної торгової націнки!