اشکالی که در وب سایت T-Mobile رخ داده است، ممکن است به هکرها اجازه دهد تا بتوانند اطلاعات شخصی شما را مشاهده نمایند. این اشکال که اکنون پچ شده، این امکان را برای هکرها فراهم میکرد تا به آدرس ایمیل، شمارههای موجود در دفترچه تلفن گوشی و حتی شماره IMSI (یک شماره انحصاری که برای شناسایی مشترکین استفاده میشود) دسترسی داشته باشند. بر اساس گفتههای محققی که متوجه بروز این اشکال شد، هیچ راهی برای جلوگیری از نوشتن یک اسکریپت و یافتن اطلاعات شخصی تمامی 67 میلیون کاربر T-Mobile وجود ندارد.
محقق، کاران سانی، از شرکت استارتاپی امنیتی Secure7 به گزارشگر سایت خبری مادربُرد گفت:
«شرکت T-Mobile دارای 76 میلیون کاربر است و یک هکر میتواند اسکریپتی بنویسد و اجرا کند که منجر به خراب شدن دادهها و اطلاعات شخصی تمام این 76 میلیون کاربر شود. این اطلاعات شامل نام، پست الکترونیکی، شماره حسابهای بانکی و شمارههای دیگر این نام کاربری که معمولاً شمارههای اعضای خانواده وی است، میشود. هکرها پس از دسترسی به این اطلاعات میتوانند یک پایگاه داده قابل جستوجو از اطلاعات دقیق و صحیح کاربران قربانی شده طراحی کنند و به راحتی به تمامی این اطلاعات دسترسی داشته باشند.»
بدیهی است که این اشکال، پیامدهای امنیتی گستردهای دارد. کاران سانی حتی تا جایی پیش رفت که این اشکال را تحت عنوان « نقص بسیار بحرانی دادهها» نامید که بر اثر آن «هر کسی که دارنده یک تلفن همراه T-Mobile است،» میتواند در معرض این حمله باشد و اطلاعات آن در اختیار هکرها قرار گیرد. با استفاده از این اطلاعات، هکرها به راحتی میتوانند با مهندسی اجتماعی به حسابهای کاربری شما وارد شوند.
در اوایل سال جاری حساب کاربری بسیاری از کاربران شناخته شده یوتیوب از طریق مهندسی اجتماعی هک شد. هکرها با داشتن اطلاعات کافی، میتوانند به خدمات مشتریان T-Mobile مراجعه کرده و برای یک تلفن همراه مشخص T-Mibile، سیم کارت جدیدی دریافت نمایند. پس از آن، هکر میتواند سیم کارت جدید را در تلفن خود قرار داده و شماره تلفن کاربر یوتیوب را برباید. سپس تمام تماسها و پیامهای کاربر قربانی به جای آنکه به خودش برسد، توسط هکر دریافت خواهد شد. این اشکال قطعاً پیامدهای امنیتی عمدهای در پی خواهد داشت. زیرا بسیاری از سرویسها برای احراز هویت دو مرحلهای از برنامه پیامرسانی متنی استفاده میکنند.
این اشکال در API شرکت T-Mobile دیده شده است. طبق گفته کاران سانی، هنگامی که شما یک شماره موبایل را جستوجو میکنید، پاسخی که سامانه به شما میدهد شامل تمامی اطلاعات حساب مرتبط با آن شماره خواهد بود. T-Mobile میگوید: «ما 24 ساعت پس از اینکه متوجه این اشکال شدیم، به طور کامل آن را رفع کردیم.» این شرکت همچنین ادعای کاران سانی مبنی بر این که اطلاعات تمامی مشتریان T-Mobile بر اثر این اشکال در معرض خطر قرار گرفته است را انکار کرد. T-Mobile میگوید تنها اطلاعات بخش کوچکی از مشتریان تحت تاثیر این نقص امنیتی قرار گرفته است و هیچ نشانهای مبنی بر اینکه اطلاعات مجموعه گستردهای از کاربران در اختیار هکرها قرار گرفته است، وجود ندارد.
یک هکر blackhat این ادعای شرکت T-Mobile را نقص کرده است. پس از آنکه ابتدا Motherboard اطلاعات خود را پیرامون این موضوع منتشر کرد، یک هکر با نویسنده خبر تماس گرفت تا به آنها اطلاع دهد که قبل از پچ شدن این نقص امنیتی، هفتهها به طور گسترده از آن سوء استفاده میشده است. این هکر حتی برای اثبات ادعای خود، جزئیات اطلاعات حساب نویسنده را نیز برای آنها ارسال کرد. هنگامیکه در رابطه با ادعای هکر با T-Mobile تماس گرفته شد، آنها این طور پاسخ دادند:
«ما این آسیبپذیری را که توسط یک محقق گزارش شده بود، در کمتر از 24 ساعت پس از اطلاع از آن رفع کردیم. و ما تایید میکنیم که تمامی راههای معمول و شناختهشده برای بهرهبرداری از اطلاعات شخصی کاربران توسط هکرها را بستهایم. از زمانی که ما متوجه این نقص امنیتی شدیم، هیچ نشانهای مبنی بر اینکه حسابهای کاربران تحت تاثیر این آسیبپذیری قرار گرفته است، وجود ندارد.»
صرف نظر از اینکه چه تعداد از مشتریان T-Mobile تحت تاثیر این نشت اطلاعاتی قرار گرفتهاند یا چه میزان از اطلاعات شخصی آنها در اختیار هکرها قرار گرفته است، ما به مشتریان T-Mobile پیشنهاد میکنیم از اطلاعات خود بیش از پیش محافظت کنند. به عنوان مثال، دارندهی حساب میتواند برای حساب خود یک رمز عبور بگذارد و از مواردی نظیر صدور سیم کارت جدید یا اضافه شدن خطوطی به حساب کاربری خود جلوگیری کند. با توجه به رویدادهای اخیر، این کار ایدهی چندان بدی نیست.
