Hlavní navigace

T-Mobile měl na webu chybu, umožňovala získat osobní údaje zákazníků

Petr Krčmář

Bezpečnostní odborník Ryan Stevenson objevil chybu v jedné ze služeb společnosti T-Mobile. Na portálu promotool.t-mobile.com narazil na nedokumentované API, které dovolovalo přistupovat k interním systémům společnosti. Bylo tak možné získat informace o libovolném zákazníkovi, jako parametr stačilo zadat telefonní číslo.

Bez autentizace tak mohl kdokoliv získat přístup ke jménu, poštovní adrese, číslu bankovního účtu a v některých případech také k daňovému identifikačnímu číslu. Co víc, zobrazil se i PIN, kterým se uživatel prokazuje při komunikaci s operátorem (tedy vlastně heslo). Kdokoliv tak měl možnost s těmito informacemi ovládnout celý zákaznický účet.

Objevitel problému okamžitě problém nahlásil, firma přístup zabezpečila a odměnila Stevensona částkou tisíc dolarů. Není to poprvé, co se u T-Mobile něco takového stalo. V říjnu bylo otevřené API objeveno v jiné službě.

Našli jste v článku chybu?