76 milyon T-Mobile abonesinin hassas bilgileri açık kurbanı oldu

Sadece Telefon Numarasıyla Hassas Verilere Erişiliyor
Yorumlar

Almanya merkezli GSM operatörü T-Mobile, ABD ve Avrupa'daki yaklaşık 76 milyon kullanıcıya hizmet sunuyor. T-Mobile'ın internet sitesinde, geçtiğimiz hafta fark edilen bir hata ise hackerların, T-Mobile'dan hizmet alan kullanıcılara ait hassas verilere kolay bir şekilde ulaşmasına neden oluyordu. Üstelik hackerların hassas verilere ulaşması için sadece T-Mobile kullanıcısının cep telefonu numarasını bilmesi(ya da tahmin etmesi) yetiyordu. Konuyla ilgili açıklama yapan T-Mobile da hatayı doğruladı.

Sadece Telefon Numarasıyla Hassas Verilere Erişiliyor

Güvenlik araştırmacısı Karan Saini tarafından keşfedilen açık, Saini'nin açıklamasına göre T-Mobile'ın uygulama programlama arayüzündeki(API) bir teknik hatadan kaynaklanıyor. API'daki hata sonucunda hatayı fark eden kişiler wsg.t-mobile.com adresinde sadece T-Mobile müşterilerinin cep telefonu numarasını kullanarak müşterilerin; e-posta adreslerini, fatura hesap numaralarını ve telefonun IMSI numaralarını öğrenebiliyor. İddialara göre bu yöntemi kullanan hackerlar sadece bu hassas verileri ele geçirmekle kalmadı. Bu verilerin ardından T-Mobile müşteri hizmetleriyle iletişime geçen hackerlar, ellerindeki veriler ile kendilerini, numaranın gerçek sahibi olarak tanıttı ve yeni bir sim kartı istedi. Yeni sim kartıyla da müşterilerin, SMS ile kimlik doğrulama sistemine sahip olan sosyal medya hesapları ele geçirildi.

Saini, keşfettiği açığın hackerlar tarafından kullanıldığını ve 76 milyon T-Mobile müşterisinin verilerinin tehlikede olduğunu dile getirirken hatayla ilgili olarak yetkililerle de iletişime geçtiğini kaydetti. Konuyla ilgili açıklama yapan T-Mobile sözcüsü ise şirketin web sitesindeki güvenlik açığı nedeniyle herhangi bir müşterinin verilerinin hackerlar tarafından ele geçirilmediğini kaydetti. 2015 yılında ABD'nin en büyük kredi raporlama firmalarından Experian'a yönelik siber saldırıda yaklaşık 15 milyon T-Mobile müşterisinin; isim, doğum tarihi, adres, sosyal güvenlik, ehliyet ve pasaport numaraları gibi önemli bilgileri siber hırsızlar tarafından ele geçirilmişti.

T-Mobile'daki güvenlik açığının kullanımını aşağıdaki videodan inceleyebilirsiniz: