T-Mobile Online Tool Нехай хто-небудь отримує інформацію про клієнтів за номером телефону
Для багатьох з нас наші смартфони - це не просто спосіб спілкування з світом. Вони містять конфіденційні дані і можуть слугувати ключем до важливих онлайн-облікових записів. За словами дослідника з безпеки Райана Стівенсона, T-Mobile не дуже серйозно ставився до безпеки. Він залишив субдомен доступним у відкритому інтернеті, який міг би надати інформацію про клієнтів будь-кому, хто мав ваш номер телефону. Дірка була виправлена зараз, але сайт, можливо, був використаний для викрадення облікових записів.
Реєстраційний домен - це програма promotool.t-mobile.com, яка не перелічена в будь-якому місці на веб-сайті T-Mobile. Тим не менш, його легко видобути в пошуку Google. Сторінка, яка використовується для розміщення необмеженого API, що надає доступ до інформації про обліковий запис користувача. Ви можете ввести номер телефону та повернути майже всі пов'язані з ним дані облікового запису.
Повертаються дані включають повне ім'я, поштову адресу, номер рахунку та, у деяких випадках, навіть частину ідентифікаційного номера або номера соціального страхування клієнта. На цій сторінці також повідомляється статус облікового запису, включаючи примітки про прострочені платежі та призупинення дії облікового запису. У деяких випадках дані також мали PIN-коди облікового запису та питання безпеки, які клієнтам доведеться перевіряти на їх ідентифікацію за допомогою підтримки. З усіма цими даними, комусь треба було б просто зловити облікові записи. Там було так багато інформації, хтось навіть міг використовувати його для отримання доступу до інших онлайнових облікових записів. Подумайте про те, як часто вас просять підтвердити за допомогою адреси або останніх кількох цифр номера вашого соціального страхування.
Чому навіть щось подібне існує? Веб-сайт промотулю повинен використовуватися лише для внутрішньої підтримки клієнтів. Але сайт не потребував входу до облікового запису, і він був доступний поза межами корпоративної мережі T-Mobile. Після того, як Стівенсон повідомив про проблему, T-Mobile зробив кроки, щоб закрити атакуючий API та блокувати веб-сторінку. Якщо ви зараз відвідуєте сторінку промотуля, воно вимагає реєстраційних даних для входу.
Стівенсону було виплачено 1,000 баунтів помилок для повідомлення про помилку, і це - угода для T-Mobile. Перевізник намагався виправити викрадення SIM-картки та вивозити шахраї, які дозволяють зловмисникам вкрасти телефонні номери абонентів. Це може дозволити зловмисникам витягувати двофакторні коди автентифікації через SMS та перерватись у важливі онлайн-рахунки. Цей веб-портал, мабуть, допомогло зробити ці атаки більш поширеними. Тим не менш, слід дотримуватися заходів безпеки, таких як додавання обмежень для перенесення номерів у ваш обліковий запис. Там може бути більше вразливостей, що ховаються в системі T-Mobile.
Читати далі
Oppo демонструє концепт-телефон із розтяжним OLED-екраном
Oppo представила концепт-телефон із "плавно змінюваним OLED-дисплеєм", який змінює розмір вашої руки, щоб переміщатися між планшетними та подібними до телефону форм-факторами.
Новий Snapdragon 888 від Qualcomm створить флагманські телефони Android у 2021 році
888 поставляється з новим процесором, вбудованим 5G та значним посиленням графічного процесора. Це планується стати найважливішим оновленням флагманської системи на чіпі (SoC) Qualcomm за останні роки.
Samsung вважає, що дефіцит автомобільних чіпів може вплинути на телефони
Samsung занепокоєна тим, що дефіцит мікросхем в автомобільній галузі може призвести до зменшення кількості мобільних поставок SoC. Це напівпровідниковий пінбол в 2021 році.
Xiaomi заявляє, що за допомогою нового продукту телефон можна заряджати з іншого боку
Технологія компанії Mi Air Charge може нібито заряджати ваш телефон здалеку, навіть перебуваючи у вас у кишені. Або так вони стверджують - ми не знаємо напевно, оскільки Mi Air Charge зараз є лише технічною демонстрацією.