更新、2017年10月12日午前7時55分(太平洋標準時):T-Mobileは声明で、「他に未解決の脆弱性は認識していない」とし、「もし認識した場合は、直ちに解決に取り組む」と述べた。
T-Mobileのウェブサイトは、標的の電話番号を知っている人なら誰でも顧客データにアクセスできるようにしていました。この脆弱性が同社のサイトにどれくらいの期間存在していたかは不明ですが、同社は声明の中で、セキュリティ研究者が最初にこの脆弱性を公表してから24時間以内にこの問題を解決したと述べています。
情報セキュリティ企業Secure7は、T-Mobileのウェブサイト「mydigits.t-mobile.com」に脆弱性を発見しました。同社によると、この脆弱性を悪用すれば、電話番号だけでT-Mobileの顧客の氏名、アカウント権限、メールアドレス、ユーザーIDを収集できる可能性があるとのことです。また、攻撃者はアカウントのステータスや、その人物のT-Mobile携帯電話に関連付けられたSIMカードのIMSI番号も取得できる可能性があります。
この脆弱性は、「mydigits.t-mobile.com」がログイン時に「wsg.t-mobile.com」に情報を要求する方法に起因していたようです。Secure7によると、同サイトはアカウント情報へのアクセスに「access_token」と「tmoid」という2つのパラメータを必要とするGETリクエストを発行していました。しかし、この脆弱性が修正される前は、関連するtmoidがなくても情報を取得することができました。Secure7は次のように説明しています。
自分に属さない tmoid を使用して URL を照会すると、権限エラーが発生しますが、tmoid を別のパラメータ msisdn に置き換えて、有効な T-Mobile 電話番号を指定すると、エラーが発生することなく、提供された電話番号に関連付けられた T-Mobile アカウントに関する限定的なデータが返されます。
Secure7は、この問題が公表されてから24時間以内に解決されたことを確認しました。しかし残念ながら、T-Mobileの顧客がまだ危機を脱したわけではないようです。同社は「この問題が修正されるまで、多数のブラックハットハッカーが積極的に悪用していた」と述べており、暗号化されたパスワードやセキュリティの質問など、これまで考えられていたよりも多くのデータを収集できた可能性があるとしています。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
Tモバイルは声明で、この脆弱性を「悪用する既知の方法をすべて遮断したことを確認した」と述べ、この欠陥によって「顧客アカウントが影響を受けたという証拠は見つかっていない」と付け加えた。また、研究者に対し、公式のバグ報奨金プログラムを通じてこのような問題を報告するよう呼びかけた。パスワードなどが漏洩する可能性のあるこの問題を解決したかどうかについて、同社は回答を控えた。
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
