Một lỗi trên website của T-mobile có thể giúp hacker xem được địa chỉ email, số tài khoản của người dùng và thậm chí số IMSI của điện thoại.
Theo nhà nghiên cứu phát hiện ra lỗi này, không có cách nào để ngăn chặn ai đó viết ra đoạn mã độc và tìm thông tin trong tất cả 69,6 triệu nạn nhân.
Nhà nghiên cứu bảo mật Karan Saini thuộc Security7 nói với Motherboard rằng với 69,6 triệu người dùng mạng này. Kẻ tấn công có thể chạy một đoạn mã để lôi dữ liệu về và tạo thành một cơ sở dữ liệu người dùng có thể tra cứu chính xác và liên tục cập nhật.
Saini thậm chí đã coi đây là một lỗi cực kỳ quan ngại và mô tả nó là một vụ xâm phạm dữ liệu rất nghiêm trọng, khi mà hầu hết khách hàng T-Mobile đều là nạn nhân. Dùng dữ liệu này, hacker có thể dễ dàng thực hiện tấn công social engineer để truy cập vào những tài khoản đó.
Đầu năm nay, một số tài khoản YouTube nổi tiếng đã bị tấn công thông qua kỹ thuật này. Các tin tặc giả dạng khách hàng đã khai thác dịch vụ chăm sóc khách hàng của T-Mobile với đủ thông tin yêu cầu, từ đó lấy được SIM mới cho số điện thoại của nạn nhân. Hacker tiếp đến dùng SIM để yêu cầu lấy xác nhận và truy cập vào tài khoản YouTube của nạn nhân. Tất cả các cuộc gọi và tin nhắn văn bản của nạn nhân sẽ đến tay hacker. Khi đó thì các dịch vụ xác thực 2 yếu tố dùng tin nhắn coi như đã bị vô hiệu hoá hoàn toàn.
Lỗi mới được Saini phát hiện nằm trong một API của T-Mobile. Khi truy vấn một số điện thoại, anh cho biết hệ thống sẽ trả về một câu trả lời cho tất cả các thông tin tài khoản liên kết với nó. T-Mobile cho biết đã sửa được lỗi trong vòng 24 giờ sau khi nhận được thông báo. Hãng cũng bác bỏ tuyên bố của Saini rằng tất cả khách hàng của mình đều là mục tiêu bị tấn công, và thừa nhận chỉ một phần nhỏ các khách hàng bị ảnh hưởng và không có dấu hiệu cho thấy vụ việc được chia sẻ rộng rãi hơn.
Nhưng ngay sau đó, một hacker mũ đen đã gần như dội một gáo nước lạnh vào tuyên bố này. Anh ta tuyên bố đã liên hệ với tác giả để thông báo rằng khai thác này đã được sử dụng rộng rãi trong nhiều tuần lễ trước khi nó được vá. Các hacker này thậm chí đã gửi đến tài khoản của tác giả viết bài trên trang Motherboard để chứng minh quan điểm.