T-Mobile раздавал личные данные своих 70 млн клиентов всем желающим

Безопасность Стратегия безопасности Телеком Мобильная связь
мобильная версия
, Текст: Роман Георгиев
Субдомен сайта мобильного оператора T-Mobile содержал опасную уязвимость, позволявшую всем желающим получать данные о любом клиенте компании, - достаточно было знать только его телефонный номер.

Персональные данные клиентов всем желающим

На сайте крупного мобильного оператора T-Mobile выявлена и устранена серьезная ошибка, грозившая привести к крупномасштабной утечке данных.

Баг содержался в субдомене promotool.t-mobile.com, который сотрудники компании использовали для клиентской поддержки. В этом субдомене располагался скрытый API, который мог возвращать все данные на конкретного пользователя, достаточно было ввести его номер в качестве ключевого параметра. Это стало возможно благодаря отсутствию каких-либо механизмов авторизации при вызове API.

Таким образом можно было получать самые разнообразные данные - полное имя, почтовый адрес, информацию о лицевом счете и иногда даже коды налогоплательщика. Самое опаснее, что в этих записях содержались отсылки к персональным идентификационным номерам, которые пользователи должны были называть операторам T-Mobile при обращении за техподдержкой. А следовательно, существовала возможность реального перехвата аккаунтов злоумышленниками.

T-Mobile, принадлежащий немецкому телеком-гиганту Deutsche Telekom, является третьим по величине оператор в США. Оператор обслуживает около 74 млн абонентов под брендом T-Mobile, а общая абонентская база, включающая «дочек», работающих под другими торговыми марками, превышает 150 млн пользователей.


tmobile600.jpg
Оператор T-Mobile держал данные о своих клиентов в открытом доступе


Субдомен - и, по-видимому, уязвимый API - существовали с октября 2017 г.

И не в первый раз

Администраторы T-Mobile получили информацию о проблеме в начале апреля. Они очень быстро отключили API и заплатили исследователю безопасности Райану Стивенсону $1000 в рамках программы поиска уязвимостей.

«Сломанный» API был устранен тогда же, в апреле. Представители T-Mobile утверждают, что никакой реальной утечки данных не произошло, хотя проверить это непросто.

«В прошлом году T-Mobile уже становились жертвами утечки данных - точно также из-за уязвимого API на одном из субдоменов, - отмечает Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. - Представители T-Mobile тогда тоже утверждали, что «нет свидетельств» утечки данных, оказалось, что хакеры нашли уязвимый API и несколько недель крали данные. Где гарантии, что нечто подобное не происходило и в этот раз?»

T-Mobile в настоящее время ведет переговоры о слиянии с конкурирующей компанией Sprint. Сумма сделки должна будет составить $26 млрд. Утечки данных, особенно, масштабные, имеют тенденцию негативно сказываться на стоимости продаваемых активов, поэтому T-Mobile, скорее всего, будет всячески настаивать на том, что пользовательские данные в этот раз хакерам не достались.