News

T-Mobile parcha vulnerabilidad que exponía la información personal de sus 76 millones de clientes

T-Mobile ha parchado una vulnerabilidad en la interfaz de su aplicación que daba acceso a toda la información personal de la cuenta de un usuario a cualquier persona con solo tener un número de teléfono válido del cliente de la compañía. Es posible que la vulnerabilidad se haya estado explotando activamente hasta que se publicó el parche la semana pasada.

El investigador de seguridad Karan Saini descubrió la vulnerabilidad y se puso en contacto con T-Mobile para alertarle sobre el problema. A raíz de esto, la compañía se dio cuenta de la situación y comenzó a tomar las medidas necesarias para controlarla. Además, ofreció a Saini una recompensa de 1.000 US$ por su aporte a la seguridad de su producto.

La vulnerabilidad afectaba la API de wsg.t-mobile.com, que entregaba los nombres, direcciones de correo electrónico, números de cuenta y códigos de red IMSI de su víctima cuando una persona simplemente hacía una búsqueda con un número de teléfono ajeno. El código IMSI permite a los atacantes rastrear la ubicación de sus víctimas e interceptar llamadas y mensajes de texto, y la información personal restante ayuda a los estafadores virtuales a cometer robo de identidad.

Si T-Mobile no hubiese parchado la vulnerabilidad a tiempo, algún usuario malicioso podría haber causado estragos con la cantidad de información que estaba expuesta. “Un atacante podría haber ejecutado un script para conseguir los datos de los 76 millones de clientes de T-Mobile para crear una base de datos navegable con información precisa y actualizada de todos los usuarios”, dijo Saini.

T-Mobile asegura que no se han encontrado indicios de que ninguno de sus usuarios haya sido afectado por la vulnerabilidad, pero un hacker anónimo que se puso en contacto con la revista de informática Motherboard asegura que un grupo de hackers estuvo explotando la vulnerabilidad durante un tiempo y utilizando los datos que conseguían para hacerse pasar por los titulares de las cuentas de sus víctimas y convencer a los empleados de T-Mobile para que les mandaran tarjetas SIM de repuesto. Con esta tarjeta, los atacantes podían burlar cualquier autentificación de dos factores que los servicios, aplicaciones y sitios web pusieran en su camino.

Es así como, según el hacker, los atacantes tomaron el control de importantes cuentas de redes sociales de clientes de T-Mobile. Sin embargo, cuando se le preguntó a la compañía sobre estas afirmaciones, reiteró que no se había encontrado ningún indicio de que la vulnerabilidad se haya utilizado en ataques maliciosos antes de ser parchada.

T-Mobile recalcó su compromiso con los hackers que dedican su tiempo a investigar fallas de seguridad en sus productos. “Valoramos las denuncias responsables que se dan en el marco de nuestro programa ‘bug bounty’ de recompensas por vulnerabilidades, que nos ayudan a proteger a nuestros clientes. Es por eso que incentivamos a los investigadores para que nos escriban a: secure@t-mobile.com, security@t-mobile.com o bug-bounty@t-mobile.com”.

Fuentes

T-Mobile customer data plundered thanks to bad API Ars Technica

Bug Exposed T-Mobile Data With Just a Phone Number PC Magazine

T-Mobile Website Allowed Hackers to Access Your Account Data With Just Your Phone Number Motherboard

T-Mobile parcha vulnerabilidad que exponía la información personal de sus 76 millones de clientes

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada