A T-Mobile Online eszköz bárki számára elérhetővé teheti vevőszolgálatának telefonszámát

Sokunk számára okostelefonunk nem csak a világgal való kommunikáció egyik módja. Bizalmas adatokat tartalmaznak, és kulcsfontosságú szerepet játszhatnak a fontos online fiókoknál. Ryan Stevenson biztonsági kutató szerint a T-Mobile nem vette túl komolyan a biztonságot. Azt aldomain hozzáférhető maradt a nyílt interneten, amely az ügyfelek adatait megadná bárkinek, aki rendelkezik az Ön telefonszámával. A lyukat most bepótolták, de lehet, hogy a webhelyet a fiókok eltérítésére használták fel.

A szóban forgó domain a promoolool.t-mobile.com, amely a T-Mobile weboldalon nem szerepel máshol. A Google-keresésben azonban könnyű kotorni. Az oldal korlátlan API-t szolgáltatott, amely hozzáférést biztosított a felhasználói fiók adataihoz. Megadhat egy telefonszámot, és visszakaphatja a hozzá tartozó fiókszolgáltatások szinte minden részletét.

A visszaküldött adatok tartalmazzák az ügyfél teljes nevét, levelezési címét, számlaszámát, és egyes esetekben az adóazonosító vagy a társadalombiztosítási szám egy részét is. Ezen az oldalon a fiók állapotáról is beszámoltunk, beleértve a lejárt fizetésekkel és a számla felfüggesztésével kapcsolatos megjegyzéseket. Bizonyos esetekben az adatok számla PIN-kódokkal és biztonsági kérdésekkel is jártak, amelyekre az ügyfeleknek szükségük lenne a személyazonosságuk támogatásával történő igazolására. Mindezen adatok birtokában triviálisan könnyű lenne valaki eltéríteni a számlákat. Annyi információ volt, valaki akár felhasználhatta is őket más online fiókokhoz való hozzáférésre. Gondoljon arra, milyen gyakran kéri, hogy ellenőrizze egy címmel vagy a társadalombiztosítási szám utolsó néhány számjeggyel.



A frissített oldal most bejelentkezést kér.

Miért is létezhetne ilyesmi? A promoolool webhely állítólag csak belső ügyfélszolgálati munkatársak számára készült. De a webhelyhez nem volt szükség bejelentkezésre, és a T-Mobile vállalati hálózatán kívülről is elérhető volt. Miután Stevenson jelentette a problémát, a T-Mobile lépéseket tett a szélhámos API bezárása és a weboldal lezárása érdekében. Ha most felkeresi a promoolool oldalt, az bejelentkezési adatokat igényel.

Stevensonnak 1000 dolláros hibajutalt fizettek a hiba bejelentéséért, és ez a T-Mobile üzlet. A fuvarozó küzdött a SIM-eltérítéssel és a csalások kiküszöbölésével, amelyek lehetővé teszik a támadók számára az előfizetők telefonszámainak ellopását. Ez lehetővé teheti a támadók számára, hogy SMS-ben lekérjék a kétfaktoros hitelesítési kódokat, és betörjenek a fontos online fiókokba. Lehet, hogy ez a webportál elősegítette a támadások gyakoribbá tételét. Ennek ellenére továbbra is meg kell tennie olyan biztonsági intézkedéseket, mint például a számhordozási korlátozások hozzáadása a fiókjához. Több sérülékenység leselkedhet a T-Mobile rendszerére.

Copyright © Minden Jog Fenntartva | 2007es.com