พบช่องโหว่ในเว็บ T-Mobile ที่ทำให้แฮ็กเกอร์ได้ข้อมูลของผู้ใช้งานเพียงแค่รู้เบอร์มือถือ

พบช่องโหว่ในเว็บของ T-Mobile ผู้ให้บริการด้านการสื่อสารที่ทำให้แฮ็กเกอร์ได้ข้อมูลของผู้ใช้งานเพียงแค่รู้เบอร์มือถือ โดยสิ่งที่แฮ็กเกอร์จะได้รับคือ อีเมล ชื่อผู้ใช้งาน เลขที่บัญชีที่ชำระเงิน เลข IMSI ผ่านทางช่องโหว่นี้

Credit: ShutterStock.com

T-mobile ผู้ให้บริการด้านการมือถือและการสื่อสารรายใหญ่ซึ่งมีผู้ใช้งานในหลายประเทศทั่วโลก ปัจจุบันมีผู้ใช้งานประมาณ 76 ล้านคน “เพียงแค่แฮ็กเกอร์รู้เบอร์มือถือก็สามารถใช่ช่องโหว่นี้ได้ โดยสิ่งจะได้รับจากช่องโหว่ครั้งนี้คือ อีเมล ชื่อผู้ใช้งาน เลขบัญชีที่ใช้ชำระเงิน เลข IMSI หรือเลขอื่นๆ ซึ่งอาจจะนำสู่การนำข้อมูลไปทำการ Social Engineering Attack หรือจุดประสงค์อื่นๆ ” –Karan Saini นักวิจัยด้านความปลอดภัยผู้ก่อตั้งบริษัทสตาร์ทอัพ Secure7 ที่ค้นพบช่องโหว่นี้ให้ข้อมูลกับ Motherboard

Saini ได้กล่าวอธิบายถึงเหตุการณ์นี้ว่า “มันไม่มีกลไกใดที่จะป้องกันแฮ็กเกอร์ที่จะสร้าง Script เพื่อดึงข้อมูลในบัญชีผู้ใช้งานทุกคนผ่านช่องโหว่นี้ กรณีนี้คล้ายกับเหตุการณ์ Bug ที่เคยเกิดขึ้นกับ TT&T เมื่อปี 2015 เหตุการณ์ช่องโหว่ครั้งนี้เกิดขึ้นที่หน้า API ของหน้า http://wsg.t-mobile.com/ โดยพบว่าสามารถใส่เลขโทรศัพท์ใครก็ได้และ API จะตอบข้อมูลบัญชีผู้ใช้คนๆ นั้นออกมา

T-mobile ได้ออกมาพูดถึงเหตุการณ์ครั้งนี้ว่า “ผลกระทบครั้งนี้มีผลต่อลูกค้าส่วนหนึ่งเท่านั้นและบริษัทได้ทำการสืบสวนและแก้ปัญหานี้แล้วภายใน 24 ชม. อีกทั้งยังกล่าวถึงโปรแกรม Bug Bounty ที่จัดตั้งมาเพื่อรับรายงานช่องโหว่ลักษณะนี้เพื่อป้องป้องผู้ใช้งานและสนับสนุนนักวิจัยผ่านอีเมล secure@t-mobile,security@t-mobile,bug-bounty@t-mobile” จากโครงการนี้ Saini ได้รับรางวัล 1000$ สำหรับการค้นพบช่องโหว่นี้

Karsenten Nohl นักวิจัยด้านความปลอดภัยเกื่ยวกับระบบมือถือกล่าวกับ Motherboard ว่า “โดยทฤษฏีแล้ว ถ้าเรารู้เลข IMSI ของใครเราสามารถที่จะทราบได้ว่าผู้ใช้งานคนนั้นอยู่ที่ไหน รวมถึงดักฟังการโทรศัพท์และข้อความได้ แต่ว่ามันก็ยังไม่มีวิธีทำเงินได้ชัดเจนนักจากเลข IMSI ดังนั้นมันอาจจะไม่ค่อยดึงดูดอาชญกรไซเบอร์มากนัก

ในเวลาต่อมาหลังจากที่ข่าวเผยแพร่ออกไป Motherboard ได้รับคำเตือนจากแฮ็กเกอร์ที่ไม่ประสงค์จะออกนามถึงช่องโหว่ครั้งนี้ว่าถูกค้นพบก่อนหน้าหลายสัปดาห์ก่อนหน้าที่แล้ว เพื่อเป็นการยืนยันแฮ็กเกอร์ได้ส่งข้อมูลบัญชีผู้ใช้ของนักข่าว Motherboard มาให้ ดูเหมือนว่าช่องโหว่นี้จะถูกใช้ไปก่อนหน้าที่ Saini จะอัพโหลดวิดีโอแสดงตัวอย่างแล้ว ทาง Motherboard จึงได้สอบถามไปยัง T-mobile และได้รับคำตอบว่า “เราแก้ปัญหาไปแล้วภายใน 24 ชม.รวมถึงทางที่จะใช้งานช่องโหว่นี้ทั้งหมด และตอนนี้ยังไม่ได้รับการร้องเรียนว่ามีผู้ใช้งานได้รับผลกระทบจากช่องโหว่นี้

ที่มา : https://www.scmagazine.com/hackers-may-have-exploited-t-mobile-api-to-steal-customer-data/article/703493/ และ https://motherboard.vice.com/en_us/article/wjx3e4/t-mobile-website-allowed-hackers-to-access-your-account-data-with-just-your-phone-number

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

CISA เตือนช่องโหว่ Fortinet RCE เริ่มถูกใช้โจมตีแล้ว

CISA เปิดเผยว่าช่องโหว่ Remote Code Execution (RCE) ร้ายแรงใน FortiOS กำลังถูกใช้โจมตีแล้ว โดยหน่วยงานรัฐบาลสหรัฐฯ ต้องแพตช์ภายใน 3 สัปดาห์

Palo Alto Networks เตือนช่องโหว่ระบบ Firewall พร้อมโค้ดโจมตี

Palo Alto Networks เตือนผู้ดูแลระบบให้เร่งแพตช์ช่องโหว่ความปลอดภัยที่สามารถใช้โจมตีเพื่อยึด PAN-OS firewalls ได้ โดยมีโค้ดโจมตีเผยแพร่สู่สาธารณะแล้ว