Le site de T-Mobile permettait d’obtenir l’adresse et le code PIN de clients mobiles

Le site de T-Mobile permettait d’obtenir l’adresse et le code PIN de clients mobiles

https://ift.tt/2KPe2An

ZDNet rapporte que le problème, corrigé, venait d’un outil de recherche exposé par erreur sur Internet. À partir d’un numéro de téléphone, il laissait n’importe qui obtenir le nom, l’adresse et le code PIN de la ligne concernée, voire des informations fiscales.

Un appel à une API était ainsi possible, en complétant simplement une URL avec le numéro voulu. Le sous-domaine de l’outil était simplement accessible via les moteurs de recherche, selon nos confrères.

La page a été retirée début avril, une journée après que le chercheur Ryan Stevenson l’a signalé. Il a reçu 1 000 dollars en récompense, via un programme de bug bounty. Selon Motherboard, dans un article d’octobre 2017, des pirates auraient bien exploité cet outil.

Le site de T-Mobile permettait d'obtenir l'adresse et le code PIN de clients mobiles

Sécurité

via Next INpact – Actualités https://ift.tt/1QwWIhs

May 25, 2018 at 10:18AM