信息來源：hackernews

T-Mobile客戶：您的數(shù)據(jù)又一次遭到了威脅。這一次的罪魁禍首似乎是一個名為“copypasta”的bug，一位安全研究人員最近在T-Mobile的網(wǎng)站上公開可見的一個子域中發(fā)現(xiàn)了一個bug，這個bug讓任何人都只用一個電話號碼就可以訪問客戶數(shù)據(jù)。感覺T-Mobile想要贏一個最佳bug獎。

這一次，在promotool.t-mobile.com上的一個被隱藏得不夠明顯的API中，這顯然是一個針對員工的“Customer Care Portal”，它允許任何人通過將客戶的電話號碼附加到這個URL的末端來訪問T-Mobile客戶數(shù)據(jù)- 不需要密碼。

據(jù)ZDNet稱，這樣做會泄露客戶的全名，賬單賬號，賬戶狀態(tài)信息（例如過期賬單或賬戶暫停）以及賬戶PIN（用于啟動客戶服務(wù)交互）。在某些情況下，稅務(wù)識別號碼會被暴露。

安全研究員Ryan Stevenson發(fā)現(xiàn)了這個bug，并在4月初向T-Mobile報告，為此他收到了1000美元的bug獎勵。在Stevenson提醒他們的一天之后，這家運營商終止了該API。

“我們已經(jīng)快速了修復(fù)了該錯誤，而且我們沒有證據(jù)顯示有任何客戶信息都被訪問過，”T-Mobile發(fā)言人告訴ZDNet。

這應(yīng)該聽起來很熟悉，因為去年秋天它曾出現(xiàn)過類似的bug。在這種情況下，盡管T-Mobile宣稱它在24小時內(nèi)進行了糾正，但黑客似乎還是有幾周的時間可以利用這個漏洞。去年年底，該運營商解決了暴露用戶登錄記錄的另一個網(wǎng)站bug。

如果您是T-Mobile的客戶，并認為您的個人信息被盜，并被用于了設(shè)置新帳戶或?qū)Ξ?dāng)前帳戶進行更改，您可以與運營商合作糾正這種情況。