Minulý týden, T-Mobile opravil chybu na jednom ze svých portálů které umožnilo hackerům vyzbrojeným pouze vaším telefonním číslem získat přístup k množství vašich osobních údajů, včetně vašeho fakturačního účtu T-Mobile, vaší e-mailové adresy a standardizovaného jedinečného předplatitelského čísla vašeho telefonu – nebo IMSI .
Společnost opravila chybu méně než 24 hodin poté, co ji základní deska upozornila jménem bezpečnostního výzkumníka, který chybu našel. Byla to extrémně rychlá, pohotová a chvályhodná odpověď. Jak se ale ukázalo, výzkumník, který chybu nahlásil T-Mobile, nebyl jediný, kdo ji našel, a zdá se, že zlomyslní hackeři tuto chybu zneužívají k nekalým účelům již nejméně několik týdnů.
Chyba byla nalezena v rozhraní API pro stránky T-Mobile wsg.t-mobile.com . Vše, co hacker potřeboval, aby toho využil, bylo zeptat se API na telefonní číslo a API vyplivlo data této osoby.
Odborníci na informační bezpečnost říkají, že T-Mobile měl tuto chybu zachytit již dávno a bylo by snadné určit, zda ji někdo zneužívá.
'Očividně spali za volantem'
'Myšlenka, že stejný [ověřovací] token by vyžadoval tolik telefonních čísel, by měla usnadnit jeho odhalení. Existuje mnoho věcí, které by měly být varovným signálem pro ty, kteří monitorují servery,' Jake Williams, bývalý hacker NSA, nyní hlavní konzultant společnosti Rendition InfoSec, řekl Motherboard. 'Očividně spali za volantem s monitorováním.'
Tyto druhy chyb nejsou tak vzácné, což je dnes činí méně omluvitelnými vzhledem k tomu, že jiné velké telekomunikační společnosti je zneužily ve vysoce sledovaných případech. V roce 2010 nechvalně známý hacker Andrew Auernheimer, známý také jako Weev, využil podobné zranitelnosti dotazovat se na webový server AT&T a shromažďovat data od více než 100 000 majitelů iPadů.
Přečtěte si více: Průvodce základní deskou, jak se nenechat hacknout
T-Mobile nemá „žádnou omluvu,“ dodal Williams s odkazem na tento incident jako na varovný příběh. 'Je s podivem, že tento typ činnosti nevyhledávali.'
Tato chyba T-Mobile byla zjevně tak známá, že ji několik blackhat hackerů využívalo ve volné přírodě. Bylo to tak známé, že někdo dokonce vytvořil na YouTube tutoriál, který vysvětlil, jak jej využít, a který byl nahrán začátkem srpna.
'Nikdo, koho znám, nehledá na YouTube hlášení o chybách. Takže jim to trochu napovím,' řekl Williams. 'Ale když se věci tak stanou známými, že je tu výukové video, je to špatné a mluví se o tom na mnoha fórech. Myslím, že každý dobrý program pro zpravodajství o kybernetických hrozbách by se o tom dozvěděl.'
Hacker pod jménem MLT, který byl součástí týmu hackerů který v roce 2012 hacknul T-Mobile , vysvětlil Motherboard, že chyba byla použita kyberzločinci, kteří se snažili unést žádoucí účty na sociálních sítích, jako jsou účty s jedinečnými slovy nebo krátkým počtem znaků týmem podpory sociálního inženýrství T-Mobile pomocí údajů o účtu získaných pomocí chyby.
'Upřímně řečeno, T-Mobile měl vždy hrozné bezpečnostní praktiky,' řekl MLT.
Zločinci by použili chybu k vykopání dat o cíli a poté tato data použili k tomu, aby se za cíl vydávali v hovoru týmu podpory T-Mobile a přesvědčili je, aby vydali hackerům novou SIM kartu. To by jim umožnilo převzít účty na sociálních sítích oběti a možná i e-mailový účet, pokud oběť použila telefonní číslo pro zotavení.
Jedná se o podvod známý jako „ výměna sim “ a je to běžnější, než si mnozí myslí. Zrovna loni v srpnu redaktor TechCrunch John Biggs se stal obětí toho .
Máte tip? Tohoto reportéra můžete bezpečně kontaktovat na Signal na čísle +1 917 257 1382, chatu OTR na lorenzo@jabber.ccc.de nebo e-mailem na lorenzo@motherboard.tv
Jiný blackhat hacker, který požádal, aby zůstal v anonymitě, řekl, že „skupina sim vyměňujících skidů měla [zranitelnost] a používala ji poměrně dlouho“, přičemž použil často hanlivé označení „smyk“ nebo „ skript dítě “, což znamená nízkoúrovňové hackery.
Na otázku, zda vyšetřují, zda někdo tuto chybu nezneužíval, než byla opravena, nám T-Mobile jednoduše poslal prohlášení.
„Zranitelnost, kterou nám výzkumník nahlásil, jsme vyřešili za méně než 24 hodin a potvrdili jsme, že jsme uzavřeli všechny známé způsoby jejího zneužití,“ stojí v prohlášení zaslaném e-mailem. 'Do této chvíle jsme nenašli žádné důkazy o zákaznických účtech ovlivněných touto chybou zabezpečení.'
Získejte šest našich oblíbených příběhů o základní desce každý den přihlášením k odběru našeho newsletteru.