T-Mobile: Fejl i telegigantens hjemmeside gav alle adgang til kunders kontoplysninger

Illustration: T-Mobile
En fejl i telegiganten T-Mobiles hjemmeside har gjort det muligt for alle at tilgå personlige kontooplysninger på alle selskabets kunder med blot et telefonnummer. Sikkerhedshullet er siden lukket.

Kundens fulde navn, adresse, kundenummer, PIN-kode til T-Mobile - alt sammen har været frit tilgængeligt via en fejl i telegiganten T-Mobiles hjemmeside. Det har været muligt for alle at tilgå oplysningerne på alle selskabets kunder med blot et telefonnummer. Sikkerhedshullet er siden lukket.

Det skriver ZDNet

Underdomænet promotool.t-mobile.com er et T-Mobile underdomæne, som skulle hjælpe kundesupport. Det kunne findes på helt almindelige søgemaskiner og indeholdt et gemt API, som returnerede kundedata, hvis man indtastede et T-Mobile telefonnummer i slutningen af webadressen.

Data som kundens fulde navn, adresse, kundenummer og i nogle tilfælde skatteoplysninger. Kundens kontoinformationer var også en del af pakken, eksempelvis hvis kunden ikke havde betalt sit abonnement i tide eller havde fået det suspenderet.

Kundens PIN-kode til T-Mobile kontoen blev også vist, PIN-koden blev brugt som sikkerhedsspørgsmål i forbindelse med support. Og med oplysningerne var det muligt at overtage en T-Mobile-konto.

Ikke T-Mobiles første rodeo

En tidligere hændelse med et næsten identisk T-Mobile-underdomæne blev rapporteret sidste år, også dette blev lukket af T-Mobile. De påstod, at der ikke kunne findes bevis på, at kundeoplysninger var blevet stjålet.

Det viste sig dengang, at sikkerhedshullet havde været brugt af hackere i flere uger, før en hacker selv underrettede medier om sikkerhedsbristen.

Det nyeste sikkerhedshul har eksisteret siden oktober

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere