Hlavní navigace

T-Mobile měl na webu chybu, umožňovala získat osobní údaje zákazníků

28. 5. 2018

Sdílet

T-Mobile logo Autor: T-Mobile

Bezpečnostní odborník Ryan Stevenson objevil chybu v jedné ze služeb společnosti T-Mobile. Na portálu promotool.t-mobile.com narazil na nedokumentované API, které dovolovalo přistupovat k interním systémům společnosti. Bylo tak možné získat informace o libovolném zákazníkovi, jako parametr stačilo zadat telefonní číslo.

Bez autentizace tak mohl kdokoliv získat přístup ke jménu, poštovní adrese, číslu bankovního účtu a v některých případech také k daňovému identifikačnímu číslu. Co víc, zobrazil se i PIN, kterým se uživatel prokazuje při komunikaci s operátorem (tedy vlastně heslo). Kdokoliv tak měl možnost s těmito informacemi ovládnout celý zákaznický účet.

Objevitel problému okamžitě problém nahlásil, firma přístup zabezpečila a odměnila Stevensona částkou tisíc dolarů. Není to poprvé, co se u T-Mobile něco takového stalo. V říjnu bylo otevřené API objeveno v jiné službě.

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.

Byl pro vás článek přínosný?

Autor zprávičky

Petr Krčmář pracuje jako šéfredaktor serveru Root.cz. Studoval počítače a média, takže je rozpolcen mezi dva obory. Snaží se dělat obojí, jak nejlépe umí.