信息來源：hackernews

T-Mobile客戶：您的數(shù)據(jù)又一次遭到了威脅。這一次的罪魁禍?zhǔn)姿坪跏且粋€(gè)名為“copypasta”的bug，一位安全研究人員最近在T-Mobile的網(wǎng)站上公開可見的一個(gè)子域中發(fā)現(xiàn)了一個(gè)bug，這個(gè)bug讓任何人都只用一個(gè)電話號(hào)碼就可以訪問客戶數(shù)據(jù)。感覺T-Mobile想要贏一個(gè)最佳bug獎(jiǎng)。

這一次，在promotool.t-mobile.com上的一個(gè)被隱藏得不夠明顯的API中，這顯然是一個(gè)針對(duì)員工的“Customer Care Portal”，它允許任何人通過將客戶的電話號(hào)碼附加到這個(gè)URL的末端來訪問T-Mobile客戶數(shù)據(jù)- 不需要密碼。

據(jù)ZDNet稱，這樣做會(huì)泄露客戶的全名，賬單賬號(hào)，賬戶狀態(tài)信息（例如過期賬單或賬戶暫停）以及賬戶PIN（用于啟動(dòng)客戶服務(wù)交互）。在某些情況下，稅務(wù)識(shí)別號(hào)碼會(huì)被暴露。

安全研究員Ryan Stevenson發(fā)現(xiàn)了這個(gè)bug，并在4月初向T-Mobile報(bào)告，為此他收到了1000美元的bug獎(jiǎng)勵(lì)。在Stevenson提醒他們的一天之后，這家運(yùn)營(yíng)商終止了該API。

“我們已經(jīng)快速了修復(fù)了該錯(cuò)誤，而且我們沒有證據(jù)顯示有任何客戶信息都被訪問過，”T-Mobile發(fā)言人告訴ZDNet。

這應(yīng)該聽起來很熟悉，因?yàn)槿ツ昵锾焖霈F(xiàn)過類似的bug。在這種情況下，盡管T-Mobile宣稱它在24小時(shí)內(nèi)進(jìn)行了糾正，但黑客似乎還是有幾周的時(shí)間可以利用這個(gè)漏洞。去年年底，該運(yùn)營(yíng)商解決了暴露用戶登錄記錄的另一個(gè)網(wǎng)站bug。

如果您是T-Mobile的客戶，并認(rèn)為您的個(gè)人信息被盜，并被用于了設(shè)置新帳戶或?qū)Ξ?dāng)前帳戶進(jìn)行更改，您可以與運(yùn)營(yíng)商合作糾正這種情況。