نقص داده در وبگاه T-Mobile

به گزارش کارگروه امنیت سایبربان، به نقل از «androidauthority»؛ شرکت های مخابراتی T-Mobile و Sprint مدتی قبل در طی قراردادی توافق کردند یا یکدیگر ادغام شوند؛ اما حفره ای امنیتی در وبگاه T-Mobile شناسایی شده است. اخیرا نقصی در وب سایت این شرکت کشف شد که به هرکسی اجازه می دهد به اطلاعات میلیون ها مشتری دسترسی داشته باشد.

وبگاه مذکور به عنوان یک پورتال مراقبت از مشتری برای کارکنان طراحی شده است. این وبگاه از یک رایط برنامه نویسی کاربردی (API) مخفی، بهره می برد که اجازه دسترسی به اطلاعات حساب را فراهم می کند. رایان استیونسون (rayan Stevenson)، محقق امنیتی متوجه شد، از این رایط با رمز عبور محافظت نمی شود.

به همین ترتیب، مهاجم برای دسترسی به تمام اطلاعات تنها به یک شماره تلفن نیاز دارید. این اطلاعات شامل: نام کامل مشتری، آدرس پستی، شماره حساب، اطلاعات حساب و برخی موارد شناسه های مالیاتی است.

اطلاعات مورد دسترسی حتی شامل PIN حساب مشتری بود که برای تایید حساب ها هنگام تماس مشتری با پشتیبانی مورد استفاده قرار می گرفت.

استیونسون توضیح داد، در اوایل ماه آوریل، از طریق برنامه ی عیب یابی T-Mobile، رابط بدون حفاظت مذکور، کشف شد. در نتیجه مقامات شرکت به مدت یک روز آن را آفلاین کرده، یک هزار دلار به وی جایزه دادند.

طبق گفته ی سخنگوی شرکت T-Mobile، هیچ مدرکی حامل بر به خطر افتادن اطلاعات مشتریان توسط مشکلات وب سایت یافت نشد.

اگر مسئله ی بالا آشنا به نظر می رسد، به این دلیلی است که در اکتبر سال 2017 نیز اپراتور یاد شده، درگیر مشکلی مشابه بود. در آن زمان تنها بخش کوچکی از مشتریانش تحت تاثیر قرار گرفتند و هیچ نشانه ای از گسترش یافتن این نقص وجود نداشت.

با وجود این به نظر می رسد هکرها از مسئله ی بالا با خبر بوده و به مدت چندین هفته از آن سو استفاده می کردند. شرکت T-mobile همچنین اظهار کرد که هیچ شواهدی مبنی بر بروز اشکال برروی حساب مشتریان یافت نشده است.

مقامات شرکت مذکور پیشنهاد می کنند، صرف نظر از اینکه آسیب پذیری یاد شده، به حساب های مشتریان آسیب وارید نکرده است، بهتر است آنها می کنیم اقداماتی را برای محافظت از خود انجام دهند. آنها میتوانند رمزهای عبور خود را به حساب ها اضافه کنندو از اعمالی مانند صدور سیمکارت های جدید یا اضافه کردن خطوط جدید جلوگیری کنند.