La herramienta en línea de T-Mobile permite que cualquiera obtenga información del cliente con un número de teléfono

Para muchos de nosotros, nuestros teléfonos inteligentes no son solo una forma de comunicarse con el mundo. Contienen datos confidenciales y pueden servir como clave para importantes cuentas en línea. Según el investigador de seguridad Ryan Stevenson, T-Mobile no se estaba tomando muy en serio la seguridad de las cuentas. Eso dejó un subdominio accesible en la Internet abierta que proporcionaría detalles del cliente a cualquier persona que tuviera su número de teléfono. El agujero ha sido reparado ahora, pero es posible que el sitio se haya utilizado para secuestrar cuentas.



El dominio en cuestión es promotool.t-mobile.com, que no figura en ningún lugar del sitio web de T-Mobile. Sin embargo, es fácil de descubrir en una búsqueda de Google. La página utilizada para alojar una API sin restricciones que brindaba acceso a la información de la cuenta de usuario. Puede ingresar un número de teléfono y recuperar casi todos los detalles de la cuenta asociados con él.

Los datos devueltos incluían el nombre completo del cliente, la dirección postal, el número de cuenta y, en algunos casos, incluso parte del número de identificación fiscal o del seguro social. El estado de la cuenta también se informó en esta página, incluidas las notas sobre pagos vencidos y suspensiones de cuentas. En algunos casos, los datos también tenían PIN de cuenta y preguntas de seguridad que los clientes necesitarían para verificar sus identidades con soporte. Con todos estos datos, sería trivialmente fácil para alguien secuestrar cuentas. Había tanta información que incluso alguien podría usarla para acceder a otras cuentas en línea. Piense en la frecuencia con la que se le pide que verifique con una dirección o los últimos dígitos de su número de seguro social.



La página actualizada ahora solicita un inicio de sesión.

¿Por qué existiría algo como esto? Se supone que el sitio de promotool es para uso exclusivo de los representantes internos de soporte al cliente. Pero el sitio no requería iniciar sesión en una cuenta y era accesible desde fuera de la red corporativa de T-Mobile. Después de que Stevenson informó el problema, T-Mobile tomó medidas para cerrar la API maliciosa y bloquear la página web. Si visita la página de promotool ahora, exige credenciales de inicio de sesión.



Stevenson recibió una recompensa por error de $ 1,000 por informar el error, y ese es un trato para T-Mobile. El operador ha tenido problemas para abordar el secuestro de SIM y las estafas de transferencia que permiten a los atacantes robar números de teléfono de suscriptores. Esto puede permitir a los atacantes recuperar códigos de autenticación de dos factores a través de SMS y acceder a importantes cuentas en línea. Este portal web bien pudo haber ayudado a que esos ataques fueran más comunes. Sin embargo, aún debe tomar medidas de seguridad como agregar restricciones de transferencia de números a su cuenta. Podría haber más vulnerabilidades al acecho en el sistema de T-Mobile.

Copyright © Todos Los Derechos Reservados | 2007es.com