Dataovertrædelse af T-Mobile viser vigtigheden af ​​at sikre interne værktøjer

Video: Sådan bruges beregningen af ​​dataovertrædelse Wendi Whitmore leder IBM Security X-Force Incident Response & Intelligence Services-teamet. Hun forklarer, hvordan din virksomhed kan sænke omkostningerne til cyberintrusioner.

En fejl, der blev fundet på T-Mobile's websted, gjorde det muligt for enhver med en kundes telefonnummer at få adgang til deres navn, adresse, faktureringskontonummer, sikkerheds-PIN og endda skatteidentifikationsnumre, rapporterede vores søsterwebsted ZDNet udelukkende torsdag.

Fejlen, som siden er blevet rettet, blev fundet i et T-Mobile-underdomæne, som medarbejderne bruger som en kundepleje-portal til at få adgang til interne værktøjer. Imidlertid kunne enhver søge efter underdomænet - promotool.t-mobile.com - og et skjult API ville vise kundedata, hvis denne persons mobiltelefonnummer blev tilføjet til slutningen af ​​webadressen, rapporterede ZDNet.

Mere om cybersikkerhed

  • Cybersikkerhed i 2020: Otte skræmmende forudsigelser
  • De ti vigtigste cyberangreb i årtiet
  • Sådan bliver du en cybersecurity-pro: Et snyderi
  • Den berømte con mand Frank Abagnale: Kriminalitet er 4.000 gange lettere i dag

Selvom det var beregnet til medarbejderes brug, var underdomænet ikke beskyttet af en adgangskode, hvilket tillader nogen at få adgang til disse oplysninger og ved udvidelse, kundekonti og data.

Problemet fremhæver vigtigheden af ​​at sikre interne værktøjer i enhver virksomhed. For det første skulle underdomænet ikke have været på en offentlig IP-adresse, men bag en firewall for mere beskyttelse. Der skulle også have været en eller anden form for godkendelse, der kræves for at få adgang til portalen og informationen.

Virksomheder bør revidere deres egne interne databaser og værktøjer for at sikre, at der ikke er sikkerhedsproblemer som dette lurer. Konsekvenserne af en overtrædelse, både økonomisk og anseelsemæssig, er uhyggelige: For virksomheder er omkostningerne ved et dataovertrædelse omkring 1, 23 millioner dollars, og for SMB'er er det $ 120.000, ifølge Kaspersky Lab. Med mere end 74 millioner kunder ville en T-Mobile-dataovertrædelse have en stor indflydelse.

Den buggy API blev rapporteret til T-Mobile i april af sikkerhedsforskeren Ryan Stevenson. Virksomheden tog stedet offline næste dag og tildelte Stevenson $ 1.000 i en bug-bounty, rapporterede ZDNet.

"Fejlsøgningsprogrammet findes, så forskere kan advare os om sårbarheder, som er, hvad der skete her, og vi støtter denne type ansvarlig og koordineret afsløring, " fortæller en T-Mobile-talsperson til ZDNet. "Fejlen blev rettet så hurtigt som muligt, og vi har ingen bevis for, at der blev adgang til kundeoplysninger."

Dette er ikke T-Mobile's første sikkerhedshændelse af denne type: Denne fejl er næsten identisk med en eksponeret API beliggende i et andet underdomæne, der blev afsløret sidste år, hvilket også eksponerede kundedata, rapporterede Motherboard. Selvom T-Mobile havde sagt, at de ikke fandt noget bevis for, at disse data blev stjålet af ondsindede parter, blev det senere afsløret, at hackere havde udnyttet fejlen i uger.

Webstedet promotool.t-mobile.com har været online siden mindst oktober 2017, rapporterede ZDNet.

De store takeaways for tech-ledere:
  • En fejl, der blev fundet på T-Mobile's websted, gjorde det muligt for nogen med en kundes telefonnummer at få adgang til deres navn, adresse, faktureringskontonummer, sikkerheds-PIN-kode og skatteidentifikationsnumre i nogle tilfælde.
  • Fejlen demonstrerer behovet for virksomheder at sikre, at deres interne portaler og værktøjer er sikre.

Cybersecurity Insider Nyhedsbrev

Styrke din organisations IT-sikkerhedsforsvar ved at holde dig ajour med de seneste cybersecurity-nyheder, løsninger og bedste praksis. Leveres tirsdage og torsdage

Tilmeld dig i dag

© Copyright 2020 | mobilegn.com