T-Mobile nedávno opravil chybu spočívající v tom, jak ukládá informace o zákaznících. ZDNet oznámil, že společnost uchovává osobní údaje svých zákazníků na webových stránkách, které nejsou chráněny heslem a mohly být zranitelné po celé měsíce.
Údaje byly k dispozici všem, kdo znal subdoménu T-Mobile. Ta je určena pro interní použití a dříve byla chráněná heslem. Kdo ji ale nalezl prostřednictvím vyhledávače, zobrazila se mu spousta osobních údajů zadáním telefonního čísla. Tato data zahrnovala celé jméno, poštovní adresu, číslo fakturačního účtu a v některých případech informace o daňových identifikačních číslech. Údaje obsahovaly také informace o účtech zákazníků. Data obsahovala také odkazy na PIN, který zákazníci používali jako bezpečnostní otázku při kontaktování telefonické podpory.
Kdokoliv mohl tyto informace použít k zneužití účtů. Mluvčí T-Mobile odpověděl, že chyba byla opravena co nejdříve a že nejsou žádné důkazy o tom, že by byly tyto data zneužity. Společnost měla minulý rok velmi podobnou chybu na jiné subdoméně. T-Mobile tehdy uvedl totéž, a to že nemá žádný důkaz, že by údaje byly ohroženy, ale to se později změnilo. Přestože T-Mobile v době, kdy tuto chybu objevil uvedl, že neexistují žádné důkazy o tom, že zákaznické údaje byly ukradeny, později se zjistilo, že hackeři již nalezli vystavené rozhraní API a několik týdnů tuto chybu využívali. Není jasné, jak dlouho funguje tato nová nechráněná stránka, ale vypadá to alespoň od loňského října.
https://twitter.com/tmobileat/status/982187919061303296