Une vulnérabilité sur un site internet de T-Mobile permettait d’accéder à des données clients sans authentification

Un chercheur en sécurité a identifié une vulnérabilité dans le sous-domaine promotool.t-mobile.com permettant d'accéder sans authentification à des données clients. Ce site contenait une API cachée qui renvoyait les données d'un utilisateur en passant en paramètre d'une requête à l'API le numéro de téléphone de celui-ci. La vulnérabilité est liée à un manque d'authentification pour requêter l'API.

En exploitant cette vulnérabilité, il était possible d’avoir accès aux noms des clients, leur adresse postale et leurs numéros de compte de facturation. Par ailleurs, les codes PIN des clients leur permettant de répondre à une question de sécurité quand ils contactent le service client étaient aussi exposés. Cette information aurait pu être utilisée pour usurper l'identité d'un client et prendre le contrôle de son compte.