Повідомляється, що баг на сайті T-Mobile розкрив дані приватних рахунків абонентів

Через помилку на веб-сайті T-Mobile ще в квітні, інформація про рахунки клієнтів залишилася доступною для перегляду будь-кому, повідомляє ZDnet. Хоча з тих пір недолік безпеки був виправлений, особиста інформація могла бути потенційно використана будь-ким, хто знав, де її шукати.

Субдомен – promotool.t-mobile.com – є порталом обслуговування клієнтів для доступу співробітників до внутрішніх інструментів. Але баг дозволяв легко знаходити його через пошукові системи та не вимагав введення паролю для доступу до інструментів.

Помилка була пов’язана з прихованим API – він надавав дані абонентів T-Mobile, додаючи в кінець веб-адреси номер мобільного телефону абонента. Ці дані включали номер рахунку клієнта, поштову адресу та інформацію про рахунок, таку як статус рахунків, в тому числі, якщо обслуговування рахунку було призупинено або рахунок прострочений. Для деяких клієнтів також були доступні PIN-коди облікових записів та податкові ідентифікаційні номери.

• Що таке Amazon Music: все, що потрібно знати
• Tidal дає бета-тестерам функцію живого діджея
• iOS 17 може бути приголомшливою, якщо Apple зробить ці 7 змін

API був вилучений T-Mobile через день після того, як про це повідомив дослідник безпеки Райан Стівенсон, який пізніше також був нагороджений винагородою в розмірі 1000 доларів США за виявлення помилки. Хоча незрозуміло, як довго API був відкритий, представник T-Mobile повідомив ZDnet, що немає ніяких доказів того, що до будь-якої інформації про клієнтів був отриманий доступ.

Це не перший випадок, коли подібна проблема трапляється з T-Mobile. У жовтні недолік в системі безпеки дозволив хакерам отримати доступ до аналогічної інформації через веб-сайт T-Mobile. Хакери змогли отримати адреси електронної пошти, номери рахунків тощо, просто використавши номер телефону абонента.

Недолік був виявлений дослідником безпеки Караном Саїні, і він дозволяв хакерам отримати інформацію, яка потім могла бути використана в атаці соціальної інженерії, а також надавав доступ до іншої особистої інформації в Інтернеті. T-Mobile стверджує, що помилка торкнулася лише невеликої кількості клієнтів, і що вона була виправлена протягом 24 годин після виявлення.

Новина про останній недолік з’явилася трохи менше ніж через місяць після того, як було оголошено про злиття T-Mobile і Sprint – а це також було в квітні. Хоча обидва оператори домовилися про об’єднання компаній, нам ще належить побачити, чи схвалить його Міністерство юстиції США.

Рекомендації редакції

• Щойно придбали новий iPhone? Ось 12 порад і підказок для його освоєння
• Ця прихована функція iOS 16 перетворила мій iPhone на ідеальний гаджет для пошуку музики
• Секрет, як допомогти літнім людям вийти в Інтернет, прямо перед нами
• Google тепер підтримує мої жахливі звички в браузері, і мені це подобається
• Цей безкоштовний додаток для Android надав моєму телефону надздібності клонування

Source: digitaltrends.com