官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
据BleepingComputer消息,9月20日,有T-Mobile 用户表示,他们在登录该公司的官方移动应用程序后竟然可以看到其他人的账户和账单信息。
根据Reddit 和 Twitter上的用户反映,暴露的信息包括用户的姓名、电话号码、地址、账户余额以及信用卡详细信息,例如后四位数字和到期日期。有用户声称,这一情况从两周前开始就一直出现,在向 T-Mobile 反馈后也未得到回应。
T-Mobile 表示,此次事件并非网络攻击造成,其系统也没有遭到破坏,尽管大量用户报告称受到了此问题的影响,但T-Mobile 表示该事件的影响有限,仅影响不到 100 人。
当被问及更多细节时,一位发言人告诉 BleepingComputer:“T-Mobile 没有遭受网络攻击或违规。”
自 2018 年以来发生9起数据泄露事件
T-Mobile在过去几年内就已经发生多起数据泄露事件:
- 2018 年 8 月,攻击者访问了大约3% 的 T-Mobile 用户数据;
- 2019 年,T-Mobile泄露了数量不详的预付费用户的账户信息;
- 2020 年 3 月,T-Mobile 员工的个人和财务信息遭到泄露;
- 2020 年 12 月,攻击者访问了用户专有网络信息(电话号码、通话记录);
- 2021 年 2 月,T-Mobile 内部应用程序被未知攻击者未经授权访问;
- 2021 年 8 月,黑客在 T-Mobile 的一个测试环境遭到破坏后,暴力破解了 T-Mobile 的网络;
- 2022 年 4 月,臭名昭著的 Lapsus$ 勒索团伙使用窃取的凭证入侵了 T-Mobile 的网络。
仅在今年上半年,T-Mobile就披露了两起数据泄露事件。 5 月,T-Mobile披露了自在 2 月底至 3 月期间,攻击者侵入该运营商的系统,数百名客户的个人信息遭到泄露; 1 月,T-Mobile称有3700 万用户的敏感信息被使用其一个应用程序编程接口 (API) 窃取。
参考来源:T-Mobile app glitch let users see other people's account info