先週まで、T-Mobile の Web サイトのバグにより、サイバー攻撃者は電子メール アドレス、アカウント番号、ネットワーク加入者を一意に識別するために使用される国際携帯電話加入者識別情報 (IMSI) などの個人顧客データに簡単にアクセスできました。 IMSI の助けを借りて、理論的には被害者の居場所を追跡し、通話やテキスト メッセージを傍受することが可能です。
危険にさらされているすべての T-Mobile 顧客のデータ
顧客の電話番号を知っていた、または推測したハッカーは機密データを入手し、それをさらなる操作に使用したり、顧客の電話を乗っ取ったりすることができました。この欠陥を発見したセキュリティ研究者のカラン・サイニ氏は、T-Mobile顧客7600万人全員のデータが脆弱になっていただろうと強調した。これらは、すべてのユーザーに関する正確で最新の情報を含む検索可能なデータベースを作成するために簡単に使用できたはずです。また、攻撃者がデータ盗難を自動化するスクリプトを作成することを防ぐメカニズムもありませんでした。
T-Mobile によると、影響を受けたのは少数の顧客だけでした
このバグは、wsg.t-mobile.com プログラミング インターフェイス内で発見されました。 Saini 氏によると、電話番号が要求されると、インターフェイスは応答として所有者の詳細を送信するだけでした。 Saini の調査結果に反して、T-Mobile は、このエラーは少数の顧客のみに影響を及ぼしたと説明しました。「問題について警告を受け、調査し、24 時間以内に完全に解決しました。それがより広く流通するようになったという証拠はありません。」
Motherboard によると、金曜日に同社はバグを修正したという。