Субдомен сайта мобильного оператора T-Mobile содержал опасную уязвимость, позволявшую всем желающим получать данные о любом клиенте компании, — достаточно было знать только его телефонный номер.

Персональные данные клиентов всем желающим
На сайте крупного мобильного оператора T-Mobile выявлена и устранена серьезная ошибка, грозившая привести к крупномасштабной утечке данных.
Баг содержался в субдомене promotool.t-mobile.com, который сотрудники компании использовали для клиентской поддержки. В этом субдомене располагался скрытый API, который мог возвращать все данные на конкретного пользователя, достаточно было ввести его номер в качестве ключевого параметра. Это стало возможно благодаря отсутствию каких-либо механизмов авторизации при вызове API.
Таким образом можно было получать самые разнообразные данные — полное имя, почтовый адрес, информацию о лицевом счете и иногда даже коды налогоплательщика. Самое опаснее, что в этих записях содержались отсылки к персональным идентификационным номерам, которые пользователи должны были называть операторам T-Mobile при обращении за техподдержкой. А следовательно, существовала возможность реального перехвата аккаунтов злоумышленниками.
T-Mobile, принадлежащий немецкому телеком-гиганту Deutsche Telekom, является третьим по величине оператор в США. Оператор обслуживает около 74 млн абонентов под брендом T-Mobile, а общая абонентская база, включающая «дочек», работающих под другими торговыми марками, превышает 150 млн пользователей.

Субдомен — и, по-видимому, уязвимый API — существовали с октября 2017 г.

И не в первый раз
Администраторы T-Mobile получили информацию о проблеме в начале апреля. Они очень быстро отключили API и заплатили исследователю безопасности Райану Стивенсону $1000 в рамках программы поиска уязвимостей.
«Сломанный» API был устранен тогда же, в апреле. Представители T-Mobile утверждают, что никакой реальной утечки данных не произошло, хотя проверить это непросто.
«В прошлом году T-Mobile уже становились жертвами утечки данных — точно также из-за уязвимого API на одном из субдоменов, — отмечает Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. — Представители T-Mobile тогда тоже утверждали, что «нет свидетельств» утечки данных, оказалось, что хакеры нашли уязвимый API и несколько недель крали данные. Где гарантии, что нечто подобное не происходило и в этот раз?»
T-Mobile в настоящее время ведет переговоры о слиянии с конкурирующей компанией Sprint. Сумма сделки должна будет составить $26 млрд. Утечки данных, особенно, масштабные, имеют тенденцию негативно сказываться на стоимости продаваемых активов, поэтому T-Mobile, скорее всего, будет всячески настаивать на том, что пользовательские данные в этот раз хакерам не достались.

Источник: cnews.ru