Уязвимость безопасности на веб-сайте T-Mobile позволяла любому получить доступ к личным данным любого клиента T-Mobile, используя всего лишь номер телефона, сообщает ZDNet.
Внутренний инструмент T-Mobile promotool.t-mobile.com имел скрытый API, который предоставлял данные клиентов T-Mobile при добавлении номера телефона клиента в конец веб-адреса. Доступные данные включали полное имя, адрес, номер биллингового счета и, для некоторых клиентов, идентификационные номера налогоплательщика.
Данные учетной записи, такие как статус услуги и статус биллинга, также были включены, но, похоже, номера кредитных карт, пароли или другая конфиденциальная информация скомпрометированы не были. ZDNet сообщает, что были «ссылки на PIN-коды учетных записей, используемые клиентами в качестве вопроса безопасности», которые могли быть использованы для угона учетных записей T-Mobile.
API использовался сотрудниками T-Mobile для поиска данных клиентов, но он был доступен общественности и не защищен паролем. T-Mobile устранил проблему в начале апреля после того, как ее раскрыл специалист по безопасности Райан Стивенсон, который в итоге получил 1000 долларов.
В заявлении, предоставленном ZDNet, T-Mobile заявила, что не похоже, чтобы данные клиентов были доступны через API, но исследования показывают, что API был открыт как минимум с октября 2017 года.
Представитель T-Mobile заявил: «Программа вознаграждений за обнаружение ошибок существует для того, чтобы исследователи могли уведомлять нас об уязвимостях, что и произошло здесь, и мы поддерживаем такой тип ответственного и скоординированного раскрытия информации». «Ошибка была исправлена как можно скорее, и у нас нет доказательств того, что какая-либо информация о клиентах была получена», — добавил представитель.
Это не первая проблема с незащищенным API, с которой столкнулась T-Mobile. В прошлом году похожая ошибка также раскрыла данные клиентов хакерам.
У T-Mobile более 74 миллионов клиентов, и если бы эта последняя ошибка была использована, простой скрипт мог бы предоставить хакерам доступ к данным миллионов людей.
