blog

T-Mobile网站漏洞泄露了客户数据

一个错误导致T-Mobile网站随时向互联网上的任何人分享客户数据。 ZDNet最近了解到,T-Mobile网站上的一个错误允许任何人只使用客户的电话号码访问任何客户的个人帐户详细信息。问题可能已经解决,但它已经让很多客户面临风险。该漏洞最初是由安全研究员Ryan Stevenson于4月初发现的。他发现,T-Mobile的子域promotool.t-mobile.com(员工的“客户关怀门户”)中隐藏的API允许任何人通过将他们的电话号码附加到URL的末尾来访问客户的数据。当然,该API仅适用于T-Mobile员工。但由于网站没有密码保护,任何别有用心的人都能利用这一点。因此,T-Mobile再次让客户面临风险。泄露的数据包括客户的全名,邮政地址,账单账号。有些案例甚至包括税号。暴露的其他数据是关于客户账单是否到期,或客户服务是否被暂停的信息。更糟糕的是,当他们联系电话支持时,该漏洞还泄露了客户使用的帐户PIN作为安全问题的引用。任何人都可以使用此类详细信息来劫持帐户。 T-Mobile已经解决了这个问题。它在史蒂文森报道后一天终止了API。这位安全研究员后来获得了1,000美元的奖金。然后,T-Mobile发言人根据发生的事情发表了一份声明。 “臭虫赏金计划的存在使得研究人员可以提醒我们漏洞,这就是这里发生的事情,我们支持这种负责任和协调的披露,”发言人说。 “该错误已尽快修补,我们没有证据表明访问过任何客户信息。”Android Police指出去年秋天发现了一个类似的错误。当时,T-Mobile表示它在了解这个问题的24小时内解决了这个问题。然而,有人发现这个漏洞已经让黑客利用这个漏洞进行了几个星期的利用。一个错误是在T-Mobile的网站上泄露了客户数据。图片:

查看所有