USA: T-Mobile-Bug ermöglicht Zugriff auf Benutzerdaten

T-Mobile USA ist eine Sicherheitspanne unterlaufen. Ein Fehler auf der Website von T-Mobile USA erlaubt es jedem, auf die persönlichen Kontodaten eines jeden Kunden mit dessen Handynummer zuzugreifen.


Anzeige

ZDNet hat die Geschichte hier publiziert. Es gab von T-Mobile eine wenig bekannte Sub-Domain, die die Mitarbeiter als Customer Care Portal nutzen, um auf die internen Tools des Unternehmens zuzugreifen.

Die Subdomain promotool.t-mobile[.]com, die über Suchmaschinen leicht gefunden werden kann, enthielt eine versteckte API. Diese gibt die T-Mobile Kundendaten einfach durch Hinzufügen der Handynummer des Kunden an das Ende der Webadresse zurück.

Smartphone
(Quelle: Pexels Lisa Fotios, CC0 Lizense)

Obwohl die API von den Mitarbeitern von T-Mobile zum Nachschlagen von Kontodaten verwendet wird, war sie nicht mit einem Passwort geschützt und konnte von jedermann leicht verwendet werden.

Zu den zurückgegebenen Daten gehörten der vollständige Name des Kunden, die Postanschrift, die Rechnungskontonummer und in einigen Fällen Informationen über die Steueridentifikationsnummer. Zu den Daten gehörten auch die Kontoinformationen der Kunden, z.B. ob eine Rechnung überfällig ist oder ob der Kunde seinen Dienst eingestellt hat.

Die Daten enthielten auch Hinweise auf Konto-PINs, die von Kunden als Sicherheitsfrage bei der Kontaktaufnahme mit dem Telefon-Support verwendet wurden. Jeder könnte diese Informationen benutzen, um Konten zu entführen.

T-Mobile deaktivierte die API einen Tag nachdem die Schwachstelle Anfang April vom Sicherheitsforscher Ryan Stevenson gemeldet wurde. Stevenson wurde später mit $1.000 als Prämie belohnt.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.