T-Mobile раздавал личные данные своих 70 млн клиентов всем желающим
30 мая 2018 12:40 #69357
от ICT
ICT создал тему: T-Mobile раздавал личные данные своих 70 млн клиентов всем желающим
Персональные данные клиентов всем желающим На сайте крупного мобильного оператора T-Mobile выявлена и устранена серьезная ошибка, грозившая привести к крупномасштабной утечке данных. Баг содержался в субдомене promotool.t-mobile.com, который сотрудники компании использовали для клиентской поддержки. В этом субдомене располагался скрытый API, который мог возвращать все данные на конкретного пользователя, достаточно было ввести его номер в качестве ключевого параметра. Это стало возможно благодаря отсутствию каких-либо механизмов авторизации при вызове API. Таким образом можно было получать самые разнообразные данные - полное имя, почтовый адрес, информацию о лицевом счете и иногда даже коды налогоплательщика. Самое опаснее, что в этих записях содержались отсылки к персональным идентификационным номерам, которые пользователи должны были называть операторам T-Mobile при обращении за техподдержкой. А следовательно, существовала возможность реального перехвата аккаунтов злоумышленниками. T-Mobile, принадлежащий немецкому телеком-гиганту Deutsche Telekom, является третьим по величине оператор в США. Оператор обслуживает около 74 млн абонентов под брендом T-Mobile, а общая абонентская база, включающая «дочек», работающих под другими торговыми марками, превышает 150 млн пользователей.
Оператор T-Mobile держал данные о своих клиентов в открытом доступе
Субдомен - и, по-видимому, уязвимый API - существовали с октября 2017 г. И не в первый раз Администраторы T-Mobile получили информацию о проблеме в начале апреля. Они очень быстро отключили API и заплатили исследователю безопасности Райану Стивенсону $1000 в рамках программы поиска уязвимостей. «Сломанный» API был устранен тогда же, в апреле. Представители T-Mobile утверждают, что никакой реальной утечки данных не произошло, хотя проверить это непросто. «В прошлом году T-Mobile уже становились жертвами утечки данных - точно также из-за уязвимого API на одном из субдоменов, - отмечает Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. - Представители T-Mobile тогда тоже утверждали, что «нет свидетельств» утечки данных, оказалось, что хакеры нашли уязвимый API и несколько недель крали данные. Где гарантии, что нечто подобное не происходило и в этот раз?» T-Mobile в настоящее время ведет переговоры о слиянии с конкурирующей компанией Sprint. Сумма сделки должна будет составить $26 млрд. Утечки данных, особенно, масштабные, имеют тенденцию негативно сказываться на стоимости продаваемых активов, поэтому T-Mobile, скорее всего, будет всячески настаивать на том, что пользовательские данные в этот раз хакерам не достались. Ссылка на источник
Оператор T-Mobile держал данные о своих клиентов в открытом доступе
Субдомен - и, по-видимому, уязвимый API - существовали с октября 2017 г. И не в первый раз Администраторы T-Mobile получили информацию о проблеме в начале апреля. Они очень быстро отключили API и заплатили исследователю безопасности Райану Стивенсону $1000 в рамках программы поиска уязвимостей. «Сломанный» API был устранен тогда же, в апреле. Представители T-Mobile утверждают, что никакой реальной утечки данных не произошло, хотя проверить это непросто. «В прошлом году T-Mobile уже становились жертвами утечки данных - точно также из-за уязвимого API на одном из субдоменов, - отмечает Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. - Представители T-Mobile тогда тоже утверждали, что «нет свидетельств» утечки данных, оказалось, что хакеры нашли уязвимый API и несколько недель крали данные. Где гарантии, что нечто подобное не происходило и в этот раз?» T-Mobile в настоящее время ведет переговоры о слиянии с конкурирующей компанией Sprint. Сумма сделки должна будет составить $26 млрд. Утечки данных, особенно, масштабные, имеют тенденцию негативно сказываться на стоимости продаваемых активов, поэтому T-Mobile, скорее всего, будет всячески настаивать на том, что пользовательские данные в этот раз хакерам не достались. Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.