O site da T-Mobile apresenta um hack plug-and-play que pode expor os detalhes dos clientes

Um subdomínio do site da T-Mobile USA permitia facilmente que qualquer pessoa com o número de telefone de um cliente obtivesse informações pessoais.

De acordo com ZDNet, promotool.t-mobile.com era uma ferramenta de funcionário facilmente acessível através de mecanismos de busca e não estava protegida por uma senha. Os funcionários fizeram pesquisas específicas adicionando o número de celular do cliente ao final do endereço.

O que foi revelado foi o nome completo do cliente, endereço de cobrança e números de conta com informações fiscais para alguns clientes, PINs de conta para acesso a ações privilegiadas da conta – como cancelamento de uma conta ou alteração de detalhes pessoais – e detalhes de quaisquer contas ou suspensões de serviços em atraso.

O subdomínio foi desativado depois que o caçador de insetos Ryan Stevenson relatou a vulnerabilidade à empresa em abril por uma recompensa de US $ 1.000. No entanto, não está claro por quanto tempo a URL ficou ativa – o Internet Archive registrou uma cópia da página em outubro passado.

A T-Mobile emitiu um comunicado, cuja parte diz:

O programa de recompensas por bugs existe para que os pesquisadores possam nos alertar sobre vulnerabilidades, o que aconteceu aqui, e apoiamos esse tipo de divulgação responsável e coordenada […] O bug foi corrigido o mais rápido possível e não temos evidências de que nenhuma informação do cliente foi acessada.

Uma exploração semelhante no site da T-Mobile – também permitindo acesso a informações pessoais com apenas um número de telefone – foi descoberta em outubro por Placa mãe. Foi verificado independentemente que os dados estavam sendo coletados por esse método por semanas. A subsidiária pré-paga da empresa, MetroPCS, também foi sujeita ao mesmo número de exploração de entrada para seu site em novembro de 2015.

Artigos Relacionados

Back to top button