T-Mobile网站错误使任何人都可以使用客户数据

据透露，T-Mobile的一个网站暴露了一种工具，该工具可以让任何人在运营商的客户上查询个人帐户数据。用户只需要客户的电话号码即可检索信息，从而使许多人容易受到数据盗窃的影响。此问题已得到解决，但尚不清楚有多少客户受到此问题的影响。

据ZDNet称，该问题是由安全研究员Ryan Stevenson于4月发现的，该报告称T-Mobile在收到通知后的第二天便取消了对该工具的访问。史蒂文森根据运营商的错误赏金计划获得了1,000美元的奖励。

名为promotool.t-mobile.com的子域是数据泄露的来源。根据报告，该域似乎是供T-Mobile员工在工作期间访问客户信息的。但是，可以使用搜索引擎来发现它，使发现它的任何人都可以访问任何客户的数据。

现在访问促销工具域时，会向访问者显示一个简单的“客户服务门户”注释和一个“登录”链接。只有具有凭据的用户才能登录以使用门户。不幸的是，它留下了大量数据。

据ZDNet称，在修复之前，客户服务门户网站提供的信息包括诸如税号，客户的全名，帐号，地址，服务和账单支付状态，甚至可能还有帐户PIN之类的信息。这不是T-Mobile首次公开客户信息。去年年底，母板发现了一个类似的漏洞，使黑客仅使用客户的电话号码即可访问帐户信息。