T-Mobile исправила брешь, открывающую доступ к данным 10 млн клиентов

Эксперты из T-Mobile устранили уязвимость в системе регионального оператора MetroPCS (принадлежит T-Mobile), которая могла стать причиной компрометации данных 10 миллионов клиентов компании. ИБ-исследователи Эрик Тейлор (Eric Taylor) и Блейк Уэлш (Blake Welsh) заявили, что брешь могла быть с легкостью проэксплуатирована хакерами. Любой, кто знал номер телефона пользователя MetroPCS, мог получить его личную информацию с сайта компании, в том числе домашний адрес, тарифный план и даже модель и серийный номер мобильного устройства.

Эта база данных была открытой из-за уязвимости в платежной странице MetroPCS, которая позволяла хакерам взломать электронную почту или банковский счет пользователя с помощью социальной инженерии и пр. Проэксплуатировать брешь можно было, используя плагин Firefox, посланный через HTML-запрос с номера телефона жертвы. Это привело бы к базе данных с личной информацией пользователя.

К сожалению, эксперты не описали уязвимость подробно, однако, стоит отметить, что таким брешам часто подвержены сайты крупных компаний.

Напомним, в начале октября хакерам удалось похитить персональные данные 15 миллионов клиентов T-Mobile. Хакеры смогли получить информацию, скомпрометировав сервер консалтинговой компании Experian, которая занимается проверкой кредитной истории пользователей компании.