T-Mobile Online Tool Нехай хто-небудь отримує інформацію про клієнтів за номером телефону
Для багатьох з нас наші смартфони - це не просто спосіб спілкування з світом. Вони містять конфіденційні дані і можуть слугувати ключем до важливих онлайн-облікових записів. За словами дослідника з безпеки Райана Стівенсона, T-Mobile не дуже серйозно ставився до безпеки. Він залишив субдомен доступним у відкритому інтернеті, який міг би надати інформацію про клієнтів будь-кому, хто мав ваш номер телефону. Дірка була виправлена зараз, але сайт, можливо, був використаний для викрадення облікових записів.
Реєстраційний домен - це програма promotool.t-mobile.com, яка не перелічена в будь-якому місці на веб-сайті T-Mobile. Тим не менш, його легко видобути в пошуку Google. Сторінка, яка використовується для розміщення необмеженого API, що надає доступ до інформації про обліковий запис користувача. Ви можете ввести номер телефону та повернути майже всі пов'язані з ним дані облікового запису.
Повертаються дані включають повне ім'я, поштову адресу, номер рахунку та, у деяких випадках, навіть частину ідентифікаційного номера або номера соціального страхування клієнта. На цій сторінці також повідомляється статус облікового запису, включаючи примітки про прострочені платежі та призупинення дії облікового запису. У деяких випадках дані також мали PIN-коди облікового запису та питання безпеки, які клієнтам доведеться перевіряти на їх ідентифікацію за допомогою підтримки. З усіма цими даними, комусь треба було б просто зловити облікові записи. Там було так багато інформації, хтось навіть міг використовувати його для отримання доступу до інших онлайнових облікових записів. Подумайте про те, як часто вас просять підтвердити за допомогою адреси або останніх кількох цифр номера вашого соціального страхування.
Чому навіть щось подібне існує? Веб-сайт промотулю повинен використовуватися лише для внутрішньої підтримки клієнтів. Але сайт не потребував входу до облікового запису, і він був доступний поза межами корпоративної мережі T-Mobile. Після того, як Стівенсон повідомив про проблему, T-Mobile зробив кроки, щоб закрити атакуючий API та блокувати веб-сторінку. Якщо ви зараз відвідуєте сторінку промотуля, воно вимагає реєстраційних даних для входу.
Стівенсону було виплачено 1,000 баунтів помилок для повідомлення про помилку, і це - угода для T-Mobile. Перевізник намагався виправити викрадення SIM-картки та вивозити шахраї, які дозволяють зловмисникам вкрасти телефонні номери абонентів. Це може дозволити зловмисникам витягувати двофакторні коди автентифікації через SMS та перерватись у важливі онлайн-рахунки. Цей веб-портал, мабуть, допомогло зробити ці атаки більш поширеними. Тим не менш, слід дотримуватися заходів безпеки, таких як додавання обмежень для перенесення номерів у ваш обліковий запис. Там може бути більше вразливостей, що ховаються в системі T-Mobile.
Читати далі
Сяомі обігнав Apple, щоб стати світовим номером двома смартфоном
Що залишає Samsung бити Xiaomi для верхнього місця. На підставі вражаючого темпу зростання компанії це може бути лише питанням часу, перш ніж він також обігнав Samsung.
Муск ставить у Twitter угоду, поки вона не доводить номери бота
Тижні після щебетання до попередньої угоди про придбання сайту соціальних медіа за 44 мільярди доларів, Муск зараз ставить під сумнів угоду (через твіт), кажучи, що йому вперше потрібно перевірити кількість бота Twitter насправді настільки низький, як це стверджує.
Невиданий проект META, що не вийде в гарнітуру Cambria, нібито знайдена в готельному номері
Хтось, як повідомляється, покинув майбутнього наступника Quest 2 в готельному номері, що лише трохи гірше, ніж залишати його в барі, а -ля. IPhone 4. Деякі зображення та відеоролики пристрою тепер поділяються в Інтернеті, показуючи нове "Meta Quest Pro "Брендинг.
Новий Call of Duty слідує за Overwatch 2, вимагаючи номера телефону, щоб просто відтворити його
Гірше, номери, пов’язані з передплаченими телефонними планами або VoIP, не враховують.