Top menu

Ошибка на веб-сайте T-Mobile позволяет любому получить доступ к персональным данным клиента с помощью номера его сотового телефона

Малоизвестный сайт promotool.t-mobile.com, принадлежащий T-Mobile и используемый сотрудниками мобильного оператора в качестве портала обслуживания клиентов, позволял каждому, зная номер клиента, получить его домашний адрес и PIN-код учетной записи.

promotool.t-mobile.com поддерживал специальные запросы, возвращающие данные клиента T-Mobile - для этого нужно было просто добавить номер мобильного телефона клиента в конец веб-адреса.

Возвращаемые данные включали полное имя клиента, почтовый адрес, номер платежного счета и в некоторых случаях информацию об идентификационных номерах налогоплательщика. Данные также включали информацию об учетной записи клиентов, например, если счет был просрочен или клиент приостановил свою услугу.

Данные также включали ссылки на PIN-коды учетной записи, используемые клиентами в качестве вопроса безопасности при обращении в службу поддержки по телефону. Любой пользователь мог использовать эту информацию для захвата учетных записей. В апреле персональные данные более чем 46 тыс. клиентов крупнейшего мобильного оператора в Таиланде утекли через облако Amazon S3. А чуть ранее швейцарский оператор сотовой связи Swisscom признал, что в конце прошлого года скомпрометированными оказались персональные данные около 800 000 его клиентов.

Автор: Владимир Безмалый