跨國移動電話運營商T-Mobile旗下的一個網站最近又被曝出存在安全漏洞,允許任何人僅通過提供手機號碼就能夠訪問其他任何客戶的個人賬戶信息。而從本月早些時候公佈的財務數據來看,T-Mobile目前在全球擁有超過7400萬客戶。
據外媒ZDNet報道,由安全研究員Ryan Stevenson發現的這個漏洞存在於T-Mobile網站的一個子域上——promotool.t-mobile[.]com,這是一個客戶服務門戶,允許T-Mobile員工通過該網站訪問公司的內部工具。
Stevenson發現,該子域包含一個隱藏的API,只需要將T-Mobile客戶的手機號碼添加到網址的末尾,它就會返回客戶的相關數據。返回的數據包括客戶的全名、電子郵箱地址、賬單賬號,以及某些情況下的稅務識別號碼信息。
另外,返回的數據還包括客戶的賬戶信息,如賬單是否逾期或者客戶是否暫停其服務,甚至還可能包括客戶為獲取技術支持而提交的帳戶PIN碼。
值得注意的是,這個子域通過搜索引擎就能夠很輕易地找到,這意味著任何人都可以在無需具備太多專業知識的情況下利用這些遭洩露的信息劫持他人賬戶。
Stevenson在今年4月初向T-Mobile通報了這個漏洞,該公司很快禁用了該API,並將其作為漏洞賞金計劃的一部分授予他1000美元以示鼓勵。
T-Mobile的一位發言人表示:“漏洞獎勵計劃的存在是為了讓研究人員能夠提醒我們注意安全漏洞,這就是為什麼我們要這樣做,我們支持這種負責和協調的漏洞披露。該漏洞會被儘快修補,目前沒有任何證據表明有任何客戶信息已經遭到黑客訪問。”
根據Motherboard的報道,這個漏洞與去年10月份被發現的T-Mobile網站API暴露問題幾乎完全相同,不同之處僅在於漏洞存在於不同的子域上。T-Mobile在當時同樣表示沒有發現客戶數據遭到竊取的證據,但後來證實暴露的API已經被黑客發現,並已利用超過數週的時間。
目前尚不清楚這個最新被發現的API在被禁用前暴露了多長的時間,但根據歷史搜索記錄來看,該子域至少從去年10月份以來就一直在運行。
另一方面,數據洩露事件對於T-Mobile來說並不是什麼新鮮事情。早在2015年,負責為T-Mobile公司處理信用卡申請的益百利(Experian)公司,其一個業務部門就曾遭到黑客入侵,導致1500萬T-Mobile客戶個人信息洩露, 包括客戶的全名、出生日期、家庭住址、社會保障卡號、護照號或駕照執照號碼以及用戶附加信息(如用於信用評估方面的資料)等等。
閱讀更多 黑客視界 的文章
