一位安全研究人员最近在T-Mobile的网站上发现了一个漏洞,允许任何人访问用户的个人详细信息。这些信息包括用户的全名、地址,在某些情况下,甚至包括他们的税务细节以及他们为客户支持验证而提名的PIN。它与2017年修补的T-Mobile的漏洞非常相似——唯一不同的是这个新的漏洞影响了另一个子域。据ZDNet说,最近在promotools.t-mobile.com上发现了一个漏洞,要利用这个漏洞,所有的人都必须将客户的电话号码附加到URL的末尾。
该子域显然有一个隐藏的API,可以显示个人细节,因此客服代表可以查找订阅者的细节。问题是,它没有受到密码的保护。
T-Mobile一位发言人告诉ZDNet,"这个漏洞会被尽快修补,而且(他们)没有任何客户信息被访问的证据。"
来源:engadget
评论 0
还没有添加任何评论,快去APP中抢沙发吧!