登陆 注册

T-Mobile网站的又曝漏洞:任何人只需一个电话号码就可以访问客户信息

桑云信息Lzers 2018-05-30 T-Mobile

T-Mobile网站的又曝漏洞:任何人只需一个电话号码就可以访问客户信息 T-Mobile网站的又曝漏洞:任何人只需一个电话号码就可以访问客户信息 漏洞事件

T-Mobile客户:您的数据又一次遭到了威胁。这一次的罪魁祸首似乎是一个名为“copypasta”的bug,一位安全研究人员最近在T-Mobile的网站上公开可见的一个子域中发现了一个bug,这个bug让任何人都只用一个电话号码就可以访问客户数据。感觉T-Mobile想要赢一个最佳bug奖。

这一次,在promotool.t-mobile.com上的一个被隐藏得不够明显的API中,这显然是一个针对员工的“Customer Care Portal”,它允许任何人通过将客户的电话号码附加到这个URL的末端来访问T-Mobile客户数据- 不需要密码。

据ZDNet称,这样做会泄露客户的全名,账单账号,账户状态信息(例如过期账单或账户暂停)以及账户PIN(用于启动客户服务交互)。在某些情况下,税务识别号码会被暴露。

安全研究员Ryan Stevenson发现了这个bug,并在4月初向T-Mobile报告,为此他收到了1000美元的bug奖励。在Stevenson提醒他们的一天之后,这家运营商终止了该API。

“我们已经快速了修复了该错误,而且我们没有证据显示有任何客户信息都被访问过,”T-Mobile发言人告诉ZDNet。

这应该听起来很熟悉,因为去年秋天它曾出现过类似的bug。在这种情况下,尽管T-Mobile宣称它在24小时内进行了纠正,但黑客似乎还是有几周的时间可以利用这个漏洞。去年年底,该运营商解决了暴露用户登录记录的另一个网站bug。

如果您是T-Mobile的客户,并认为您的个人信息被盗,并被用于了设置新帐户或对当前帐户进行更改,您可以与运营商合作纠正这种情况。


生成海报
桑云信息Lzers

桑云信息Lzers

乐山桑云信息技术有限公司专注于企业安全与网站、小程序、APP架设,为企业客户提供一站式解决方案,帮助企业快速实现互联网+转型。
909文章数 31评论数
请关注微信公众号
微信二维码
不容错过
Powered By SangYun.Net