您的需求已经提交,我们将在48小时内联系您
全国服务热线:400-1000-221
确定
服务热线
400-1000-221
在线咨询
点击联系客服
试用申请
请填写真实的企业信息,方便我们尽快了解您的企业安全需求。

*公司名称

*所在行业

*联系人

QQ

*联系电话

您的需求
私有云产品
云垒 立体式私有云安全纵深防御平台
云眼 新一代(云)主机入侵监测及安全管理系统
啸天 网络安全态势感知
云固 新一代网页防篡改系统
云御 新一代网站应用防御系统
公有云产品
云磐 立体式公有云安全纵深防御平台
安全云主机
高级服务
抗DDoS云服务
高级渗透测试服务
攻击取证与溯源分析服务
信息安全等级保护服务
重大活动安保服务
勒索病毒防护
区块链安全
其他需求
*验证码
{{message}}
试用申请
T-Mobile网站的又曝漏洞:只需一个电话号码就可以访问客户信息

T-Mobile客户:您的数据又一次遭到了威胁。这一次的罪魁祸首似乎是一个名为“copypasta”的bug,一位安全研究人员最近在T-Mobile的网站上公开可见的一个子域中发现了一个bug,这个bug让任何人都只用一个电话号码就可以访问客户数据。感觉T-Mobile想要赢一个最佳bug奖。

  这一次,在promotool.t-mobile.com上的一个被隐藏得不够明显的API中,这显然是一个针对员工的“Customer Care Portal”,它允许任何人通过将客户的电话号码附加到这个URL的末端来访问T-Mobile客户数据- 不需要密码。

  据ZDNet称,这样做会泄露客户的全名,账单账号,账户状态信息(例如过期账单或账户暂停)以及账户PIN(用于启动客户服务交互)。在某些情况下,税务识别号码会被暴露。

  安全研究员Ryan Stevenson发现了这个bug,并在4月初向T-Mobile报告,为此他收到了1000美元的bug奖励。在Stevenson提醒他们的一天之后,这家运营商终止了该API。

  “我们已经快速了修复了该错误,而且我们没有证据显示有任何客户信息都被访问过,”T-Mobile发言人告诉ZDNet。

  这应该听起来很熟悉,因为去年秋天它曾出现过类似的bug。在这种情况下,尽管T-Mobile宣称它在24小时内进行了纠正,但黑客似乎还是有几周的时间可以利用这个漏洞。去年年底,该运营商解决了暴露用户登录记录的另一个网站bug。

  如果您是T-Mobile的客户,并认为您的个人信息被盗,并被用于了设置新帐户或对当前帐户进行更改,您可以与运营商合作纠正这种情况。