T-Mobile Web 应用接口漏洞导致客户信息泄露

上周，T-Mobile 修复了一个存在于其 Web 应用接口中的漏洞，该漏洞允许任何人仅通过提供电话号码即可查询账户信息。泄露的信息包括客户电子邮件地址、设备识别数据，甚至账户安全问题的答案。该漏洞在被匿名安全研究人员通过 Motherboard 的 Lorenzo Franceschi-Bicchierai 报告后得到修复。然而，该漏洞已被其他人利用，使他们能够访问可用于劫持客户账户并将其转移到新手机的信息。攻击者可能通过获取 T-Mobile SIM 卡来访问受基于短信的“双因素”身份验证保护的其他账户。

漏洞的广泛传播与利用

该漏洞存在于 T-Mobile 的 wsg.T-Mobile.com 网站上，其弱点在犯罪分子中已广为人知，甚至有人在 YouTube 上创建了教程视频，展示了如何利用该漏洞。一位消息人士透露，该漏洞曾被用于尝试接管“受欢迎社交媒体账户”。

攻击过程详解

为了劫持目标个人的社交媒体账户和其他与特定电话号码相关的通信，攻击者首先利用该漏洞从 T-Mobile 的系统中提取关键账户数据。然后，攻击者可以冒充客户致电 T-Mobile 客服，说服客服团队为他们发送替换 SIM 卡。使用新的 SIM 卡，他们可以接管目标号码的电话服务，并通过短信重置使用该电话进行双因素身份验证或账户恢复的目标社交媒体和其他账户。

T-Mobile 客户的历史数据泄露

T-Mobile 客户此前已因信用报告机构 Experian 的黑客攻击而成为数据泄露的受害者。据 Reuters 10 月 1 日报道，过去两年内申请 T-Mobile 账户或通过该公司购买新设备的 1500 万人的数据在 Experian 泄露事件中暴露。然而，T-Mobile 发言人告诉 Motherboard，公司尚未发现任何证据表明该网站漏洞影响了任何客户账户。