Odborníci objevili kritickou chybu na stránkách společnosti T-Mobile

Aktualizace 28.05. 12:30 Podle vyjádření českého zastoupení společnosti T-Mobile postihl problém výhradně systém v USA. Na české uživatele to nemělo žádný vliv.

Odborník na počítačovou bezpečnost Rayn Stevenson objevil zásadní nedostatek na webovém portálu jedné z největších telekomunikačních společností světa. V subdoméně promotool.t-mobile.com, kterou využívají zaměstnanci společnosti, jako portál péče o zákazníky byla bezpečnostní trhlina. Ta umožňovala komukoliv dostat se interním datům společnosti.

Výše uvedená doména totiž obsahovala skryté, nezdokumentované a především nezabezpečené rozhraní API, skrz které bylo možné, po zadání telefonního čísla, proniknout až k informacím o jeho majiteli.

Parametry jako jméno, poštovní adresa, číslo účtu nebo daňové číslo, byly tak dány napospas kterémukoliv návštěvníkovi, který by se do databáze bez nutnosti jakkoliv ověřit svou totožnost dostal. Zobrazil se dokonce i speciální PIN používaný při komunikaci s operátorem. Jeho prostřednictvím je možné měnit nastavení služeb a získat kontrolu nad zákaznickým účtem.

Stevenson svůj objev oznámil přímo společnosti T-Mobile, která chybu ihned odstranila a objevitele odměnila 1000 dolarů. „Jsme opravdu rádi, když nás někdo upozorní na zranitelná místa, která náš systém má, proto také v rámci speciálního programu odměňujeme ty, kdo nás na podobné chyby upozorní,“ řekl mluvčí společnosti T-Mobile. „Chybu jsem okamžitě opravili a zatím nemáme důkazy, že by došlo k jejímu zneužití,“ dodal.

Není to poprvé, co se společnost T-Mobile potýká s podobnou chybou. Loni v říjnu zveřejnil server Motherboard.com informaci o neregistrovaném rozhraní API přístupné z jiné subdomény společnosti T-Mobile.

Zdroj: securityaffairs.co