Bug Exposed Data T-Mobile s pouhým telefonním číslem

Anonim
Bezpečnostní hrozby

Chyba zabezpečení na webu T-Mobile by mohla hackerům umožnit přístup k datům zákaznických účtů pouze pomocí telefonního čísla.

Výzkumník bezpečnosti Karan Saini, zakladatel spouštění Secure7, minulý týden objevil chybu a informoval o tom T-Mobile. T-Mobile tuto chybu rychle opravil a nabídl Sainimu odměnu za 1 000 $.

Chyba, která ovlivnila rozhraní wsg.t-mobile.com API společnosti T-Mobile, mohla odhalit jména uživatelů, e-mailové adresy, čísla účtů a síťové kódy IMSI ze svých telefonů, zprávy ze základní desky. S číslem IMSI mohl útočník sledovat polohu oběti a zachytit hovory a textové zprávy.

Využití této chyby bylo stejně snadné jako spuštění dotazu na telefonní číslo někoho jiného, ​​uvádí se v hlášení. Výzkumník navíc uvedl, že zranitelnost by usnadnila někomu, kdo má škodlivý úmysl, ukrást osobní údaje všech zákazníků T-Mobile.

"Útočník by mohl spustit skript, který by seškrabal data … od všech 76 milionů zákazníků [T-Mobile], aby vytvořili prohledávatelnou databázi s přesnými a aktuálními informacemi všech uživatelů, " řekl Saini v online chatu základní desce.

Naštěstí to již není možné. V prohlášení společnosti PCMag T-Mobile uvedl, že chybu odstranil méně než 24 hodin poté, co ji Saini nahlásil.

Příbuzný

  • 11 Nebezpečná porušení dat, která by vás měla rozšířit 11 Nebezpečná porušení dat, která by vás měla rozšířit

"Potvrdili jsme, že jsme zavřeli všechny známé způsoby, jak toho využít, " řekl T-Mobile. "Od této doby jsme nenašli žádný důkaz o zákaznických účtech ovlivněných touto chybou zabezpečení."

Anonymní hacker vypráví základní desce jiný příběh, avšak říká: „banda sim swapping lyží měla [zranitelnost] a nějakou dobu ji používala.“ Zjevně použili ukradené informace získané hackerem, aby přiměli zaměstnance T-Mobile k předávání nových SIM karet a únosům telefonních čísel vydáváním právoplatných majitelů linky.

Když se základní deska zeptala společnosti T-Mobile na tvrzení hackera, dopravce znovu zopakoval, že nenašel žádný důkaz o tom, že by byly vadou ovlivněny účty zákazníků.