Una API de T-Mobile expuso los datos del cliente de cualquier cliente, y todo lo que necesitaba era un número de teléfono, según ZDNet. T-Mobile cerró la API después de que se informó a través del programa de recompensas por errores de la compañía y dijo que no había evidencia de que se accediera a los datos.
En un comunicado, T-Mobile dijo:
El programa de recompensas por errores existe para que los investigadores puedan alertarnos sobre las vulnerabilidades, que es lo que sucedió aquí, y apoyamos este tipo de divulgación responsable y coordinada. El error se corrigió lo antes posible y no tenemos evidencia de que se haya accedido a la información del cliente ”, agregó el portavoz.
Hemos estado por este camino antes
Por supuesto, T-Mobile dijo lo mismo sobre una API similar en un subdominio diferente que salió a la luz en octubre de 2017. tarjeta madre informó entonces que aunque T-Mobile dijo que no había evidencia de que se accediera a los datos, sí se accedió a los datos.
La información expuesta incluía nombre, dirección, número de cuenta de facturación e información de identificación fiscal (cuando fuera pertinente, es decir, empresas). Ah, y su PIN para ponerse en contacto con el servicio de atención al cliente, lo que podría haber permitido a los malos secuestrar su cuenta. Y, por supuesto, las personas reutilizan los PIN al menos con la misma frecuencia que reutilizan las contraseñas.
No reutilice contraseñas ni PIN. No lo hagas. No lo hagas.
Además, cambie su contraseña de T-Mobile y asegúrese de nunca reutilizar las contraseñas en ningún sitio.
