Dataovertredelse fra T-Mobile viser viktigheten av å sikre interne verktøy

Video: Hvordan bruke dataovertredelseskalkulatoren Wendi Whitmore leder IBM Security X-Force Incident Response & Intelligence Services-teamet. Hun forklarer hvordan bedriften din kan senke kostnadene for cyberinntrengelser.

En feil som ble funnet på T-Mobiles nettsted, tillot alle med en kundes telefonnummer å få tilgang til navn, adresse, faktureringskontonummer, sikkerhets-PIN og til og med skatteidentifikasjonsnumre i noen tilfeller, rapporterte søsteren vår ZDNet utelukkende torsdag.

Feilen, som siden har blitt lappet, ble funnet i et T-Mobile-underdomene som ansatte bruker som en kundebehandlingsportal for å få tilgang til interne verktøy. Imidlertid kunne hvem som helst søke etter underdomenet - promotool.t-mobile.com - og et skjult API ville vise kundedata hvis personens mobiltelefonnummer ble lagt til på slutten av nettadressen, rapporterte ZDNet.

Mer om cybersecurity

  • Cybersikkerhet i 2020: Åtte skremmende spådommer
  • De ti viktigste cyberangrepene i tiåret
  • Slik blir du en cybersecurity-proff: Et jukseark
  • Famous con man Frank Abagnale: Kriminalitet er 4000 ganger enklere i dag

Selv om underdomenet ikke var ment for bruk av ansatte, ble det ikke beskyttet med et passord, noe som tillot noen å få tilgang til denne informasjonen og ved utvidelse, kundekontoer og data.

Problemstillingen understreker viktigheten av å sikre interne verktøy i enhver bedrift. For det ene skal underdomenet ikke ha vært på en offentlig IP-adresse, men bak en brannmur for mer beskyttelse. Det burde også ha vært en form for autentisering som kreves for å få tilgang til portalen og informasjonen.

Virksomhet bør revidere sine egne interne databaser og verktøy for å sikre at det ikke er noen sikkerhetsproblemer som dette lurer. Konsekvensene av et brudd, både økonomisk og anseelsesmessig, er dystre: For bedrifter er kostnadene for et datainnbrudd rundt 1, 23 millioner dollar, og for SMB er det 120 000 dollar, ifølge Kaspersky Lab. Med mer enn 74 millioner kunder vil et T-Mobile-datainnbrudd ha stor innvirkning.

Buggy API ble rapportert til T-Mobile i april av sikkerhetsforsker Ryan Stevenson. Selskapet tok nettstedet offline dagen etter, og tildelte Stevenson 1000 dollar i en bug-bounty, rapporterte ZDNet.

"Bounty-programmet eksisterer slik at forskere kan varsle oss om sårbarheter, som er det som skjedde her, og vi støtter denne typen ansvarlig og koordinert avsløring, " sa en talsperson for T-Mobile til ZDNet. "Feilen ble oppdatert så snart som mulig, og vi har ingen bevis for at det ble åpnet noen kundeinformasjon."

Dette er ikke T-Mobiles første sikkerhetshendelse av denne typen: Denne feilen er nesten identisk med et utsatt API som ligger i et annet underdomen som ble avdekket i fjor, noe som også eksponerte kundedata, rapporterte Motherboard. Selv om T-Mobile hadde sagt at de ikke fant noen bevis for at disse dataene ble stjålet av ondsinnede parter, ble det senere avslørt at hackere hadde utnyttet feilen i flere uker.

Nettstedet promotool.t-mobile.com har vært online siden minst oktober 2017, rapporterte ZDNet.

De store takeawayene for teknologiledere:
  • En feil som ble funnet på T-Mobils nettsted, tillot alle med kundens telefonnummer å få tilgang til navn, adresse, faktureringskontonummer, sikkerhets-PIN-kode og skatteidentifikasjonsnummer i noen tilfeller.
  • Feilen demonstrerer behovet for selskaper for å sikre at deres interne portaler og verktøy er sikre.

Cybersecurity Insider Nyhetsbrev

Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

Registrer deg i dag

© Copyright 2020 | mobilegn.com