信息來(lái)源:hackernews
T-Mobile客戶:您的數(shù)據(jù)又一次遭到了威脅����。這一次的罪魁禍?zhǔn)姿坪跏且粋€(gè)名為“copypasta”的bug����,一位安全研究人員最近在T-Mobile的網(wǎng)站上公開(kāi)可見(jiàn)的一個(gè)子域中發(fā)現(xiàn)了一個(gè)bug,這個(gè)bug讓任何人都只用一個(gè)電話號(hào)碼就可以訪問(wèn)客戶數(shù)據(jù)���。感覺(jué)T-Mobile想要贏一個(gè)最佳bug獎(jiǎng)�����。
這一次���,在promotool.t-mobile.com上的一個(gè)被隱藏得不夠明顯的API中�����,這顯然是一個(gè)針對(duì)員工的“Customer Care Portal”�,它允許任何人通過(guò)將客戶的電話號(hào)碼附加到這個(gè)URL的末端來(lái)訪問(wèn)T-Mobile客戶數(shù)據(jù)- 不需要密碼�。
據(jù)ZDNet稱,這樣做會(huì)泄露客戶的全名�����,賬單賬號(hào)���,賬戶狀態(tài)信息(例如過(guò)期賬單或賬戶暫停)以及賬戶PIN(用于啟動(dòng)客戶服務(wù)交互)��。在某些情況下�����,稅務(wù)識(shí)別號(hào)碼會(huì)被暴露。
安全研究員Ryan Stevenson發(fā)現(xiàn)了這個(gè)bug�����,并在4月初向T-Mobile報(bào)告,為此他收到了1000美元的bug獎(jiǎng)勵(lì)�����。在Stevenson提醒他們的一天之后�����,這家運(yùn)營(yíng)商終止了該API�����。
“我們已經(jīng)快速了修復(fù)了該錯(cuò)誤��,而且我們沒(méi)有證據(jù)顯示有任何客戶信息都被訪問(wèn)過(guò)����,”T-Mobile發(fā)言人告訴ZDNet。
這應(yīng)該聽(tīng)起來(lái)很熟悉����,因?yàn)槿ツ昵锾焖霈F(xiàn)過(guò)類似的bug。在這種情況下����,盡管T-Mobile宣稱它在24小時(shí)內(nèi)進(jìn)行了糾正��,但黑客似乎還是有幾周的時(shí)間可以利用這個(gè)漏洞�����。去年年底�����,該運(yùn)營(yíng)商解決了暴露用戶登錄記錄的另一個(gè)網(wǎng)站bug����。
如果您是T-Mobile的客戶�����,并認(rèn)為您的個(gè)人信息被盜�����,并被用于了設(shè)置新帳戶或?qū)Ξ?dāng)前帳戶進(jìn)行更改��,您可以與運(yùn)營(yíng)商合作糾正這種情況�����。
