T-Mobile Online Tool Нехай хто-небудь отримує інформацію про клієнтів за номером телефону
Для багатьох з нас наші смартфони - це не просто спосіб спілкування з світом. Вони містять конфіденційні дані і можуть слугувати ключем до важливих онлайн-облікових записів. За словами дослідника з безпеки Райана Стівенсона, T-Mobile не дуже серйозно ставився до безпеки. Він залишив субдомен доступним у відкритому інтернеті, який міг би надати інформацію про клієнтів будь-кому, хто мав ваш номер телефону. Дірка була виправлена зараз, але сайт, можливо, був використаний для викрадення облікових записів.
Реєстраційний домен - це програма promotool.t-mobile.com, яка не перелічена в будь-якому місці на веб-сайті T-Mobile. Тим не менш, його легко видобути в пошуку Google. Сторінка, яка використовується для розміщення необмеженого API, що надає доступ до інформації про обліковий запис користувача. Ви можете ввести номер телефону та повернути майже всі пов'язані з ним дані облікового запису.
Повертаються дані включають повне ім'я, поштову адресу, номер рахунку та, у деяких випадках, навіть частину ідентифікаційного номера або номера соціального страхування клієнта. На цій сторінці також повідомляється статус облікового запису, включаючи примітки про прострочені платежі та призупинення дії облікового запису. У деяких випадках дані також мали PIN-коди облікового запису та питання безпеки, які клієнтам доведеться перевіряти на їх ідентифікацію за допомогою підтримки. З усіма цими даними, комусь треба було б просто зловити облікові записи. Там було так багато інформації, хтось навіть міг використовувати його для отримання доступу до інших онлайнових облікових записів. Подумайте про те, як часто вас просять підтвердити за допомогою адреси або останніх кількох цифр номера вашого соціального страхування.
Чому навіть щось подібне існує? Веб-сайт промотулю повинен використовуватися лише для внутрішньої підтримки клієнтів. Але сайт не потребував входу до облікового запису, і він був доступний поза межами корпоративної мережі T-Mobile. Після того, як Стівенсон повідомив про проблему, T-Mobile зробив кроки, щоб закрити атакуючий API та блокувати веб-сторінку. Якщо ви зараз відвідуєте сторінку промотуля, воно вимагає реєстраційних даних для входу.
Стівенсону було виплачено 1,000 баунтів помилок для повідомлення про помилку, і це - угода для T-Mobile. Перевізник намагався виправити викрадення SIM-картки та вивозити шахраї, які дозволяють зловмисникам вкрасти телефонні номери абонентів. Це може дозволити зловмисникам витягувати двофакторні коди автентифікації через SMS та перерватись у важливі онлайн-рахунки. Цей веб-портал, мабуть, допомогло зробити ці атаки більш поширеними. Тим не менш, слід дотримуватися заходів безпеки, таких як додавання обмежень для перенесення номерів у ваш обліковий запис. Там може бути більше вразливостей, що ховаються в системі T-Mobile.
Читати далі
Newegg змінює політику повернення для боротьби з шахраями та шкоди клієнтам
Newegg намагається розправитися проти шахраїв, але ловить постійних користувачів в тій же мережі.
Apple застерігає клієнтів від використання iPhone 12 біля кардіостимулятора
Якщо у вас є Apple iPhone 12 і у вас є кардіостимулятор або інший імплантований медичний пристрій, ви повинні бути обережними з тим, як ви його тримаєте, але ці обмеження стосуються не лише iPhone 12.
AMD може скоро стати другим за величиною клієнтом TSMC за доходом
AMD встановлюється, щоб стати другим за величиною клієнтом TSMC за рахунок доходів у 2021 р., Завдяки трифакту попиту, пов'язаного з пандемією, високо конкурентоспроможну дорожню карту та в даний час виробничі чіпси для кожного ігрового пристрою люди хочуть, щоб це не перемикач.
Клієнти Tesla Angers з останнім часом збільшується ціна сонячної покрівлі
Хоча Tesla не коментує причину збільшення цін, зміни на своєму веб-сайті запропонують це завдяки вартості встановлення на складних дахах.