พบช่องโหว่ในเว็บของ T-Mobile ผู้ให้บริการด้านการสื่อสารที่ทำให้แฮ็กเกอร์ได้ข้อมูลของผู้ใช้งานเพียงแค่รู้เบอร์มือถือ โดยสิ่งที่แฮ็กเกอร์จะได้รับคือ อีเมล ชื่อผู้ใช้งาน เลขที่บัญชีที่ชำระเงิน เลข IMSI ผ่านทางช่องโหว่นี้
T-mobile ผู้ให้บริการด้านการมือถือและการสื่อสารรายใหญ่ซึ่งมีผู้ใช้งานในหลายประเทศทั่วโลก ปัจจุบันมีผู้ใช้งานประมาณ 76 ล้านคน “เพียงแค่แฮ็กเกอร์รู้เบอร์มือถือก็สามารถใช่ช่องโหว่นี้ได้ โดยสิ่งจะได้รับจากช่องโหว่ครั้งนี้คือ อีเมล ชื่อผู้ใช้งาน เลขบัญชีที่ใช้ชำระเงิน เลข IMSI หรือเลขอื่นๆ ซึ่งอาจจะนำสู่การนำข้อมูลไปทำการ Social Engineering Attack หรือจุดประสงค์อื่นๆ ” –Karan Saini นักวิจัยด้านความปลอดภัยผู้ก่อตั้งบริษัทสตาร์ทอัพ Secure7 ที่ค้นพบช่องโหว่นี้ให้ข้อมูลกับ Motherboard
Saini ได้กล่าวอธิบายถึงเหตุการณ์นี้ว่า “มันไม่มีกลไกใดที่จะป้องกันแฮ็กเกอร์ที่จะสร้าง Script เพื่อดึงข้อมูลในบัญชีผู้ใช้งานทุกคนผ่านช่องโหว่นี้ กรณีนี้คล้ายกับเหตุการณ์ Bug ที่เคยเกิดขึ้นกับ TT&T เมื่อปี 2015 เหตุการณ์ช่องโหว่ครั้งนี้เกิดขึ้นที่หน้า API ของหน้า http://wsg.t-mobile.com/ โดยพบว่าสามารถใส่เลขโทรศัพท์ใครก็ได้และ API จะตอบข้อมูลบัญชีผู้ใช้คนๆ นั้นออกมา”
T-mobile ได้ออกมาพูดถึงเหตุการณ์ครั้งนี้ว่า “ผลกระทบครั้งนี้มีผลต่อลูกค้าส่วนหนึ่งเท่านั้นและบริษัทได้ทำการสืบสวนและแก้ปัญหานี้แล้วภายใน 24 ชม. อีกทั้งยังกล่าวถึงโปรแกรม Bug Bounty ที่จัดตั้งมาเพื่อรับรายงานช่องโหว่ลักษณะนี้เพื่อป้องป้องผู้ใช้งานและสนับสนุนนักวิจัยผ่านอีเมล secure@t-mobile,security@t-mobile,bug-bounty@t-mobile” จากโครงการนี้ Saini ได้รับรางวัล 1000$ สำหรับการค้นพบช่องโหว่นี้
Karsenten Nohl นักวิจัยด้านความปลอดภัยเกื่ยวกับระบบมือถือกล่าวกับ Motherboard ว่า “โดยทฤษฏีแล้ว ถ้าเรารู้เลข IMSI ของใครเราสามารถที่จะทราบได้ว่าผู้ใช้งานคนนั้นอยู่ที่ไหน รวมถึงดักฟังการโทรศัพท์และข้อความได้ แต่ว่ามันก็ยังไม่มีวิธีทำเงินได้ชัดเจนนักจากเลข IMSI ดังนั้นมันอาจจะไม่ค่อยดึงดูดอาชญกรไซเบอร์มากนัก”
ในเวลาต่อมาหลังจากที่ข่าวเผยแพร่ออกไป Motherboard ได้รับคำเตือนจากแฮ็กเกอร์ที่ไม่ประสงค์จะออกนามถึงช่องโหว่ครั้งนี้ว่าถูกค้นพบก่อนหน้าหลายสัปดาห์ก่อนหน้าที่แล้ว เพื่อเป็นการยืนยันแฮ็กเกอร์ได้ส่งข้อมูลบัญชีผู้ใช้ของนักข่าว Motherboard มาให้ ดูเหมือนว่าช่องโหว่นี้จะถูกใช้ไปก่อนหน้าที่ Saini จะอัพโหลดวิดีโอแสดงตัวอย่างแล้ว ทาง Motherboard จึงได้สอบถามไปยัง T-mobile และได้รับคำตอบว่า “เราแก้ปัญหาไปแล้วภายใน 24 ชม.รวมถึงทางที่จะใช้งานช่องโหว่นี้ทั้งหมด และตอนนี้ยังไม่ได้รับการร้องเรียนว่ามีผู้ใช้งานได้รับผลกระทบจากช่องโหว่นี้”
ที่มา : https://www.scmagazine.com/hackers-may-have-exploited-t-mobile-api-to-steal-customer-data/article/703493/ และ https://motherboard.vice.com/en_us/article/wjx3e4/t-mobile-website-allowed-hackers-to-access-your-account-data-with-just-your-phone-number