T-Mobile USA ist eine Sicherheitspanne unterlaufen. Ein Fehler auf der Website von T-Mobile USA erlaubt es jedem, auf die persönlichen Kontodaten eines jeden Kunden mit dessen Handynummer zuzugreifen.
Anzeige
ZDNet hat die Geschichte hier publiziert. Es gab von T-Mobile eine wenig bekannte Sub-Domain, die die Mitarbeiter als Customer Care Portal nutzen, um auf die internen Tools des Unternehmens zuzugreifen.
Die Subdomain promotool.t-mobile[.]com, die über Suchmaschinen leicht gefunden werden kann, enthielt eine versteckte API. Diese gibt die T-Mobile Kundendaten einfach durch Hinzufügen der Handynummer des Kunden an das Ende der Webadresse zurück.
(Quelle: Pexels Lisa Fotios, CC0 Lizense)
Obwohl die API von den Mitarbeitern von T-Mobile zum Nachschlagen von Kontodaten verwendet wird, war sie nicht mit einem Passwort geschützt und konnte von jedermann leicht verwendet werden.
Anzeige
Zu den zurückgegebenen Daten gehörten der vollständige Name des Kunden, die Postanschrift, die Rechnungskontonummer und in einigen Fällen Informationen über die Steueridentifikationsnummer. Zu den Daten gehörten auch die Kontoinformationen der Kunden, z.B. ob eine Rechnung überfällig ist oder ob der Kunde seinen Dienst eingestellt hat.
Die Daten enthielten auch Hinweise auf Konto-PINs, die von Kunden als Sicherheitsfrage bei der Kontaktaufnahme mit dem Telefon-Support verwendet wurden. Jeder könnte diese Informationen benutzen, um Konten zu entführen.
T-Mobile deaktivierte die API einen Tag nachdem die Schwachstelle Anfang April vom Sicherheitsforscher Ryan Stevenson gemeldet wurde. Stevenson wurde später mit $1.000 als Prämie belohnt.
Anzeige