T-Mobile客戶:您的資料又一次遭到了威脅。這一次的罪魁禍首似乎是一個名為“copypasta”的bug,一位安全研究人員最近在T-Mobile的網站上公開可見的一個子域中發現了一個bug,這個bug讓任何人都只用一個電話號碼就可以訪問客戶資料。感覺T-Mobile想要贏一個最佳bug獎。
這一次,在promotool.t-mobile.com上的一個被隱藏得不夠明顯的API中,這顯然是一個針對員工的“Customer Care Portal”,它允許任何人透過將客戶的電話號碼附加到這個URL的末端來訪問T-Mobile客戶資料- 不需要密碼。
據ZDNet稱,這樣做會洩露客戶的全名,賬單賬號,賬戶狀態資訊(例如過期賬單或賬戶暫停)以及賬戶PIN(用於啟動客戶服務互動)。在某些情況下,稅務識別號碼會被暴露。
安全研究員Ryan Stevenson發現了這個bug,並在4月初向T-Mobile報告,為此他收到了1000美元的bug獎勵。在Stevenson提醒他們的一天之後,這家運營商終止了該API。
“我們已經快速了修復了該錯誤,而且我們沒有證據顯示有任何客戶資訊都被訪問過,”T-Mobile發言人告訴ZDNet。
這應該聽起來很熟悉,因為去年秋天它曾出現過類似的bug。在這種情況下,儘管T-Mobile宣稱它在24小時內進行了糾正,但駭客似乎還是有幾周的時間可以利用這個漏洞。去年年底,該運營商解決了暴露使用者登入記錄的另一個網站bug。
如果您是T-Mobile的客戶,並認為您的個人資訊被盜,並被用於了設定新帳戶或對當前帳戶進行更改,您可以與運營商合作糾正這種情況。
來源:搜狐科技