T-Mobile раздавал личные данные своих 70 млн клиентов всем желающим

30 мая 2018 12:40 #69357 от ICT
Персональные данные клиентов всем желающим На сайте крупного мобильного оператора T-Mobile выявлена и устранена серьезная ошибка, грозившая привести к крупномасштабной утечке данных. Баг содержался в субдомене promotool.t-mobile.com, который сотрудники компании использовали для клиентской поддержки. В этом субдомене располагался скрытый API, который мог возвращать все данные на конкретного пользователя, достаточно было ввести его номер в качестве ключевого параметра. Это стало возможно благодаря отсутствию каких-либо механизмов авторизации при вызове API. Таким образом можно было получать самые разнообразные данные - полное имя, почтовый адрес, информацию о лицевом счете и иногда даже коды налогоплательщика. Самое опаснее, что в этих записях содержались отсылки к персональным идентификационным номерам, которые пользователи должны были называть операторам T-Mobile при обращении за техподдержкой. А следовательно, существовала возможность реального перехвата аккаунтов злоумышленниками. T-Mobile, принадлежащий немецкому телеком-гиганту Deutsche Telekom, является третьим по величине оператор в США. Оператор обслуживает около 74 млн абонентов под брендом T-Mobile, а общая абонентская база, включающая «дочек», работающих под другими торговыми марками, превышает 150 млн пользователей.
Оператор T-Mobile держал данные о своих клиентов в открытом доступе
Субдомен - и, по-видимому, уязвимый API - существовали с октября 2017 г. И не в первый раз Администраторы T-Mobile получили информацию о проблеме в начале апреля. Они очень быстро отключили API и заплатили исследователю безопасности Райану Стивенсону $1000 в рамках программы поиска уязвимостей. «Сломанный» API был устранен тогда же, в апреле. Представители T-Mobile утверждают, что никакой реальной утечки данных не произошло, хотя проверить это непросто. «В прошлом году T-Mobile уже становились жертвами утечки данных - точно также из-за уязвимого API на одном из субдоменов, - отмечает Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. - Представители T-Mobile тогда тоже утверждали, что «нет свидетельств» утечки данных, оказалось, что хакеры нашли уязвимый API и несколько недель крали данные. Где гарантии, что нечто подобное не происходило и в этот раз?» T-Mobile в настоящее время ведет переговоры о слиянии с конкурирующей компанией Sprint. Сумма сделки должна будет составить $26 млрд. Утечки данных, особенно, масштабные, имеют тенденцию негативно сказываться на стоимости продаваемых активов, поэтому T-Mobile, скорее всего, будет всячески настаивать на том, что пользовательские данные в этот раз хакерам не достались. Ссылка на источник


  • Сообщений: 103416

  • Пол: Не указан
  • Дата рождения: Неизвестно
  • Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    Похожие статьи

    ТемаРелевантностьДата
    Российская САПР-платформа «Гербарий» раздает данные своих пользователей всем желающим23.57Среда, 29 июня 2016
    Банковские счета и личные данные 15 млн клиентов оператора связи T-Mobile оказались под угрозой21.75Пятница, 02 октября 2015
    Данные о покупках с кассовых аппаратов будут продаваться всем желающим18.94Пятница, 10 февраля 2017
    Хакеры украли личные данные клиентов McDonald’s в нескольких странах16.77Вторник, 15 июня 2021
    Разработчик популярного антивируса начал продавать данные своих клиентов14.68Пятница, 16 октября 2015
    Clubhouse открыл свое приложение всем желающим14.48Четверг, 22 июля 2021
    Синхронный переводчик Skype открыли для тестирования всем желающим14.33Вторник, 16 декабря 2014
    Пентагон предложил всем желающим взломать его, предварительно зарегистрировавшись14.33Пятница, 01 апреля 2016
    Код знаменитой ОС Стива Джобса будет открыт всем желающим14.33Четверг, 28 декабря 2017
    Создан троян-шифровальщик, позволяющий заработать всем желающим14.33Среда, 21 февраля 2018

    Мы в соц. сетях