Уязвимость веб-сайта T-Mobile позволяла получить полные данные клиентов

Уязвимость веб-сайта T-Mobile позволяла получить полные данные клиентов

Уязвимость веб-сайта T-Mobile позволяла получить полные данные клиентов

Ошибка, найденная исследователем Райаном Стивенсоном на сайте крупнейшего мобильного оператора T-Mobile, находится в поддомене, который используется персоналом в качестве портала обслуживания клиентов, для доступа к внутренним инструментам компании. Домен promotool.t-mobile.com содержит скрытый API, который возвращает данные о клиенте, просто используя в качестве параметра номер его сотового телефона.

Утечка данных была вызвана отсутствием механизма аутентификации при вызовах API, таким образом, любой желающий мог иметь доступ к любой записи клиента, включая полное имя, почтовый адрес, номер платежного счета и в некоторых случаях информацию об идентификационных номерах налогоплательщика.

Кроме того, данные включали ссылки на PIN-коды для учетной записи, используемые клиентами в качестве вопроса безопасности, когда они контактируют со службой поддержки. Это означает, что злоумышленник может использовать эту информацию для получения контроля над аккаунтами клиентов.

Как сообщает ZDNet, несмотря на то, что API используется персоналом T-Mobile для поиска сведений о счете, он не защищен паролем и может быть использован любым желающим. 

При этом возвращаемые данные включали полное имя клиента, почтовый адрес, номер платежного счета и в некоторых случаях информацию об идентификационных номерах налогоплательщика. Данные также включали информацию об учетной записи клиентов, например, если счет был просрочен или клиент приостановил свою услугу.

Стивенсон сообщил о недостатке в T-Mobile в начале апреля, компания быстро отключила API и наградила исследователя суммой в 1000 долларов в рамках своей бонусной программы.

Хотя T-Mobile заявила, что в то время она не обнаружила «никаких доказательств», что данные о клиентах были украдены, позже выяснилось, что хакеры уже нашли открытый API и использовали эту ошибку в течение нескольких недель. Хакеры доказали это, предоставив репортеру ZDNet свои собственные данные.

Увы, это не первый случай обнаружения проблем в T-Mobile. В октябре компания сообщила о другом API, доступном из другого поддомена.

ИИ начнёт считать прогульщиков в российских вузах

Российским студентам готовят нового преподавателя по посещаемости. NtechLab разработала систему видеоаналитики на базе ИИ, которая считает людей в аудитории и показывает вузу, сколько студентов реально пришло на лекцию или семинар.

Камеры анализируют видеопоток, а администрация получает статистику по конкретным занятиям. Решение уже внедряют в нескольких аудиториях одного из крупнейших российских университетов.

По задумке разработчиков, система должна убрать вечный спор в стиле «я был, просто сидел на последней парте». Если аудитория полупустая, это увидят не только преподаватели, но и руководство. Дальше вуз сможет решать, нужны ли дисциплинарные меры.

В NtechLab считают, что технология поможет не только ловить прогульщиков, но и оценивать востребованность предметов. Если студенты массово игнорируют конкретный курс, администрации предложат задуматься, всё ли в порядке с программой.

На этом возможности не заканчиваются. ИИ можно поставить на входе и подключить к чёрным спискам. Если камера распознает человека, объявленного в розыск, охрана получит тревожный сигнал.

Получается универсальный цифровой вахтёр: утром проверяет, кто вошёл, днём считает головы на лекции, а вечером помогает составить статистику посещаемости.

RSS: Новости на портале Anti-Malware.ru