| 24 мая 2018 г. — 13:28 PT
T-Mobile недавно устранил уязвимость в системе хранения клиентской информации. Согласно сообщению ZDNet, поставщик беспроводной связи хранил личные данные своих клиентов на веб-сайте, который не имел защиты паролем и, возможно, был уязвим в течение нескольких месяцев.
Данные могли быть доступны любому, кто знал субдомен T-Mobile. Предназначенный для внутреннего использования T-Mobile, ранее незащищенный паролем веб-сайт, который можно было найти через поисковую систему, выдавал большой объем личных данных при простом вводе номера телефона.
В полученных данных содержались полное имя клиента, почтовый адрес, номер биллингового счета и, в некоторых случаях, информация о номерах налоговой идентификации. Данные также включали информацию об учетной записи клиентов, например, о том, просрочен ли счет или приостановлена ли услуга клиента.
Данные также содержали ссылки на PIN-коды учетных записей, используемые клиентами в качестве ответа на контрольный вопрос при обращении в службу поддержки по телефону. Любой мог использовать эту информацию для угона учетных записей.
ZDNet отмечает, что T-Mobile отозвал API в прошлом месяце после того, как о нем сообщил Райан Стивенсон, специалист по безопасности.
Представитель T-Mobile ответил: «Ошибка была исправлена как можно скорее, и у нас нет доказательств того, что какая-либо информация о клиентах была получена».
Примечательно, что в прошлом году у оператора возникла очень похожая проблема на другом субдомене, на которую обратили внимание Motherboard.
T-Mobile тогда также заявил, что у них «нет доказательств» компрометации данных, но позже это изменилось.
Хотя T-Mobile заявила на тот момент, что у нее «нет доказательств» кражи данных клиентов, позднее выяснилось, что хакеры уже обнаружили раскрытый API и использовали уязвимость в течение нескольких недель. Хакеры доказали это, предоставив репортеру Motherboard его собственные данные.
Хотя это напрямую не связано с этой уязвимостью, по иронии судьбы, T-Mobile Austria в прошлом месяце приводил смехотворно глупые аргументы о безопасности и хранении данных клиентов в открытом тексте.
https://twitter.com/tmobileat/status/982187919061303296
Неясно, как долго последний незащищенный веб-сайт был активен, но похоже, что по крайней мере с прошлого октября.
Посетите 9to5Mac на YouTube для получения дополнительных новостей об Apple: