Bezpečnostní odborník Ryan Stevenson objevil chybu v jedné ze služeb společnosti T-Mobile. Na portálu promotool.t-mobile.com narazil na nedokumentované API, které dovolovalo přistupovat k interním systémům společnosti. Bylo tak možné získat informace o libovolném zákazníkovi, jako parametr stačilo zadat telefonní číslo.
Bez autentizace tak mohl kdokoliv získat přístup ke jménu, poštovní adrese, číslu bankovního účtu a v některých případech také k daňovému identifikačnímu číslu. Co víc, zobrazil se i PIN, kterým se uživatel prokazuje při komunikaci s operátorem (tedy vlastně heslo). Kdokoliv tak měl možnost s těmito informacemi ovládnout celý zákaznický účet.
Objevitel problému okamžitě problém nahlásil, firma přístup zabezpečila a odměnila Stevensona částkou tisíc dolarů. Není to poprvé, co se u T-Mobile něco takového stalo. V říjnu bylo otevřené API objeveno v jiné službě.
ČLÁNKY DO MAILU