พบช่องโหว่ในเว็บ T-Mobile ที่ทำให้แฮ็กเกอร์ได้ข้อมูลของผู้ใช้งานเพียงแค่รู้เบอร์มือถือ

พบช่องโหว่ในเว็บของ T-Mobile ผู้ให้บริการด้านการสื่อสารที่ทำให้แฮ็กเกอร์ได้ข้อมูลของผู้ใช้งานเพียงแค่รู้เบอร์มือถือ โดยสิ่งที่แฮ็กเกอร์จะได้รับคือ อีเมล ชื่อผู้ใช้งาน เลขที่บัญชีที่ชำระเงิน เลข IMSI ผ่านทางช่องโหว่นี้

Credit: ShutterStock.com

T-mobile ผู้ให้บริการด้านการมือถือและการสื่อสารรายใหญ่ซึ่งมีผู้ใช้งานในหลายประเทศทั่วโลก ปัจจุบันมีผู้ใช้งานประมาณ 76 ล้านคน “เพียงแค่แฮ็กเกอร์รู้เบอร์มือถือก็สามารถใช่ช่องโหว่นี้ได้ โดยสิ่งจะได้รับจากช่องโหว่ครั้งนี้คือ อีเมล ชื่อผู้ใช้งาน เลขบัญชีที่ใช้ชำระเงิน เลข IMSI หรือเลขอื่นๆ ซึ่งอาจจะนำสู่การนำข้อมูลไปทำการ Social Engineering Attack หรือจุดประสงค์อื่นๆ ” –Karan Saini นักวิจัยด้านความปลอดภัยผู้ก่อตั้งบริษัทสตาร์ทอัพ Secure7 ที่ค้นพบช่องโหว่นี้ให้ข้อมูลกับ Motherboard

Saini ได้กล่าวอธิบายถึงเหตุการณ์นี้ว่า “มันไม่มีกลไกใดที่จะป้องกันแฮ็กเกอร์ที่จะสร้าง Script เพื่อดึงข้อมูลในบัญชีผู้ใช้งานทุกคนผ่านช่องโหว่นี้ กรณีนี้คล้ายกับเหตุการณ์ Bug ที่เคยเกิดขึ้นกับ TT&T เมื่อปี 2015 เหตุการณ์ช่องโหว่ครั้งนี้เกิดขึ้นที่หน้า API ของหน้า http://wsg.t-mobile.com/ โดยพบว่าสามารถใส่เลขโทรศัพท์ใครก็ได้และ API จะตอบข้อมูลบัญชีผู้ใช้คนๆ นั้นออกมา

T-mobile ได้ออกมาพูดถึงเหตุการณ์ครั้งนี้ว่า “ผลกระทบครั้งนี้มีผลต่อลูกค้าส่วนหนึ่งเท่านั้นและบริษัทได้ทำการสืบสวนและแก้ปัญหานี้แล้วภายใน 24 ชม. อีกทั้งยังกล่าวถึงโปรแกรม Bug Bounty ที่จัดตั้งมาเพื่อรับรายงานช่องโหว่ลักษณะนี้เพื่อป้องป้องผู้ใช้งานและสนับสนุนนักวิจัยผ่านอีเมล secure@t-mobile,security@t-mobile,bug-bounty@t-mobile” จากโครงการนี้ Saini ได้รับรางวัล 1000$ สำหรับการค้นพบช่องโหว่นี้

Karsenten Nohl นักวิจัยด้านความปลอดภัยเกื่ยวกับระบบมือถือกล่าวกับ Motherboard ว่า “โดยทฤษฏีแล้ว ถ้าเรารู้เลข IMSI ของใครเราสามารถที่จะทราบได้ว่าผู้ใช้งานคนนั้นอยู่ที่ไหน รวมถึงดักฟังการโทรศัพท์และข้อความได้ แต่ว่ามันก็ยังไม่มีวิธีทำเงินได้ชัดเจนนักจากเลข IMSI ดังนั้นมันอาจจะไม่ค่อยดึงดูดอาชญกรไซเบอร์มากนัก

ในเวลาต่อมาหลังจากที่ข่าวเผยแพร่ออกไป Motherboard ได้รับคำเตือนจากแฮ็กเกอร์ที่ไม่ประสงค์จะออกนามถึงช่องโหว่ครั้งนี้ว่าถูกค้นพบก่อนหน้าหลายสัปดาห์ก่อนหน้าที่แล้ว เพื่อเป็นการยืนยันแฮ็กเกอร์ได้ส่งข้อมูลบัญชีผู้ใช้ของนักข่าว Motherboard มาให้ ดูเหมือนว่าช่องโหว่นี้จะถูกใช้ไปก่อนหน้าที่ Saini จะอัพโหลดวิดีโอแสดงตัวอย่างแล้ว ทาง Motherboard จึงได้สอบถามไปยัง T-mobile และได้รับคำตอบว่า “เราแก้ปัญหาไปแล้วภายใน 24 ชม.รวมถึงทางที่จะใช้งานช่องโหว่นี้ทั้งหมด และตอนนี้ยังไม่ได้รับการร้องเรียนว่ามีผู้ใช้งานได้รับผลกระทบจากช่องโหว่นี้

ที่มา : https://www.scmagazine.com/hackers-may-have-exploited-t-mobile-api-to-steal-customer-data/article/703493/ และ https://motherboard.vice.com/en_us/article/wjx3e4/t-mobile-website-allowed-hackers-to-access-your-account-data-with-just-your-phone-number





About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Drupal ออกอัปเดตเวอร์ชัน 8.4.5 และ 7.57 อุดช่องโหว่ระดับ Critical

Drupal ระบบ Content Management System (CMS) ชื่อดัง ได้ประกาศปล่อยอัปเดตเวอร์ชัน 8.4.5 และ 7.57 อุดช่องโหว่ระดับ Critical

Cisco ออกแพตซ์อุตช่องโหว่ระดับความรุนแรงระดับ ‘ร้ายแรง’ ให้ผลิตภัณฑ์ UCDM และ ESC

Cisco ได้รายงานถึงช่องโหว่ใน 2 ผลิตภัณฑ์ คือ Unified Communication Domain Manager เวอร์ชันก่อน 11.5(2) และ Elastic Services Controller …