T-Mobile网站的又曝漏洞：任何人只需一个电话号码就可以访问客户信息

T-Mobile客户：您的数据又一次遭到了威胁。这一次的罪魁祸首似乎是一个名为“copypasta”的bug，一位安全研究人员最近在T-Mobile的网站上公开可见的一个子域中发现了一个bug，这个bug让任何人都只用一个电话号码就可以访问客户数据。感觉T-Mobile想要赢一个最佳bug奖。

这一次，在promotool.t-mobile.com上的一个被隐藏得不够明显的API中，这显然是一个针对员工的“Customer Care Portal”，它允许任何人通过将客户的电话号码附加到这个URL的末端来访问T-Mobile客户数据- 不需要密码。

据ZDNet称，这样做会泄露客户的全名，账单账号，账户状态信息（例如过期账单或账户暂停）以及账户PIN（用于启动客户服务交互）。在某些情况下，税务识别号码会被暴露。

安全研究员Ryan Stevenson发现了这个bug，并在4月初向T-Mobile报告，为此他收到了1000美元的bug奖励。在Stevenson提醒他们的一天之后，这家运营商终止了该API。

“我们已经快速了修复了该错误，而且我们没有证据显示有任何客户信息都被访问过，”T-Mobile发言人告诉ZDNet。

这应该听起来很熟悉，因为去年秋天它曾出现过类似的bug。在这种情况下，尽管T-Mobile宣称它在24小时内进行了纠正，但黑客似乎还是有几周的时间可以利用这个漏洞。去年年底，该运营商解决了暴露用户登录记录的另一个网站bug。

如果您是T-Mobile的客户，并认为您的个人信息被盗，并被用于了设置新帐户或对当前帐户进行更改，您可以与运营商合作纠正这种情况。

稿源：搜狐科技，封面源自网络；