T-Mobile Online Tool Нехай хто-небудь отримує інформацію про клієнтів за номером телефону

Для багатьох з нас наші смартфони - це не просто спосіб спілкування з світом. Вони містять конфіденційні дані і можуть слугувати ключем до важливих онлайн-облікових записів. За словами дослідника з безпеки Райана Стівенсона, T-Mobile не дуже серйозно ставився до безпеки. Він залишив субдомен доступним у відкритому інтернеті, який міг би надати інформацію про клієнтів будь-кому, хто мав ваш номер телефону. Дірка була виправлена ​​зараз, але сайт, можливо, був використаний для викрадення облікових записів.

Реєстраційний домен - це програма promotool.t-mobile.com, яка не перелічена в будь-якому місці на веб-сайті T-Mobile. Тим не менш, його легко видобути в пошуку Google. Сторінка, яка використовується для розміщення необмеженого API, що надає доступ до інформації про обліковий запис користувача. Ви можете ввести номер телефону та повернути майже всі пов'язані з ним дані облікового запису.

Повертаються дані включають повне ім'я, поштову адресу, номер рахунку та, у деяких випадках, навіть частину ідентифікаційного номера або номера соціального страхування клієнта. На цій сторінці також повідомляється статус облікового запису, включаючи примітки про прострочені платежі та призупинення дії облікового запису. У деяких випадках дані також мали PIN-коди облікового запису та питання безпеки, які клієнтам доведеться перевіряти на їх ідентифікацію за допомогою підтримки. З усіма цими даними, комусь треба було б просто зловити облікові записи. Там було так багато інформації, хтось навіть міг використовувати його для отримання доступу до інших онлайнових облікових записів. Подумайте про те, як часто вас просять підтвердити за допомогою адреси або останніх кількох цифр номера вашого соціального страхування.

Чому навіть щось подібне існує? Веб-сайт промотулю повинен використовуватися лише для внутрішньої підтримки клієнтів. Але сайт не потребував входу до облікового запису, і він був доступний поза межами корпоративної мережі T-Mobile. Після того, як Стівенсон повідомив про проблему, T-Mobile зробив кроки, щоб закрити атакуючий API та блокувати веб-сторінку. Якщо ви зараз відвідуєте сторінку промотуля, воно вимагає реєстраційних даних для входу.

Стівенсону було виплачено 1,000 баунтів помилок для повідомлення про помилку, і це - угода для T-Mobile. Перевізник намагався виправити викрадення SIM-картки та вивозити шахраї, які дозволяють зловмисникам вкрасти телефонні номери абонентів. Це може дозволити зловмисникам витягувати двофакторні коди автентифікації через SMS та перерватись у важливі онлайн-рахунки. Цей веб-портал, мабуть, допомогло зробити ці атаки більш поширеними. Тим не менш, слід дотримуватися заходів безпеки, таких як додавання обмежень для перенесення номерів у ваш обліковий запис. Там може бути більше вразливостей, що ховаються в системі T-Mobile.

Читати далі