T-Mobile parcha vulnerabilidad que exponía la información personal de sus 76 millones de clientes

T-Mobile ha parchado una vulnerabilidad en la interfaz de su aplicación que daba acceso a toda la información personal de la cuenta de un usuario a cualquier persona con solo tener un número de teléfono válido del cliente de la compañía. Es posible que la vulnerabilidad se haya estado explotando activamente hasta que se publicó el parche la semana pasada.

El investigador de seguridad Karan Saini descubrió la vulnerabilidad y se puso en contacto con T-Mobile para alertarle sobre el problema. A raíz de esto, la compañía se dio cuenta de la situación y comenzó a tomar las medidas necesarias para controlarla. Además, ofreció a Saini una recompensa de 1.000 US$ por su aporte a la seguridad de su producto.

La vulnerabilidad afectaba la API de wsg.t-mobile.com, que entregaba los nombres, direcciones de correo electrónico, números de cuenta y códigos de red IMSI de su víctima cuando una persona simplemente hacía una búsqueda con un número de teléfono ajeno. El código IMSI permite a los atacantes rastrear la ubicación de sus víctimas e interceptar llamadas y mensajes de texto, y la información personal restante ayuda a los estafadores virtuales a cometer robo de identidad.

Si T-Mobile no hubiese parchado la vulnerabilidad a tiempo, algún usuario malicioso podría haber causado estragos con la cantidad de información que estaba expuesta. “Un atacante podría haber ejecutado un script para conseguir los datos de los 76 millones de clientes de T-Mobile para crear una base de datos navegable con información precisa y actualizada de todos los usuarios”, dijo Saini.

T-Mobile asegura que no se han encontrado indicios de que ninguno de sus usuarios haya sido afectado por la vulnerabilidad, pero un hacker anónimo que se puso en contacto con la revista de informática Motherboard asegura que un grupo de hackers estuvo explotando la vulnerabilidad durante un tiempo y utilizando los datos que conseguían para hacerse pasar por los titulares de las cuentas de sus víctimas y convencer a los empleados de T-Mobile para que les mandaran tarjetas SIM de repuesto. Con esta tarjeta, los atacantes podían burlar cualquier autentificación de dos factores que los servicios, aplicaciones y sitios web pusieran en su camino.

Es así como, según el hacker, los atacantes tomaron el control de importantes cuentas de redes sociales de clientes de T-Mobile. Sin embargo, cuando se le preguntó a la compañía sobre estas afirmaciones, reiteró que no se había encontrado ningún indicio de que la vulnerabilidad se haya utilizado en ataques maliciosos antes de ser parchada.

T-Mobile recalcó su compromiso con los hackers que dedican su tiempo a investigar fallas de seguridad en sus productos. “Valoramos las denuncias responsables que se dan en el marco de nuestro programa ‘bug bounty’ de recompensas por vulnerabilidades, que nos ayudan a proteger a nuestros clientes. Es por eso que incentivamos a los investigadores para que nos escriban a: secure@t-mobile.com, security@t-mobile.com o bug-bounty@t-mobile.com”.

Fuentes

T-Mobile customer data plundered thanks to bad API Ars Technica

Bug Exposed T-Mobile Data With Just a Phone Number PC Magazine

T-Mobile Website Allowed Hackers to Access Your Account Data With Just Your Phone Number Motherboard