Die Verletzung von T-Mobile-Daten zeigt, wie wichtig es ist, interne Tools zu sichern

Video: Verwendung des Datenverletzungsrechners Wendi Whitmore leitet das IBM Security X-Force-Team für Incident Response & Intelligence Services. Sie erklärt, wie Ihr Unternehmen die Kosten für Cyber-Intrusionen senken kann.

Ein auf der Website von T-Mobile gefundener Fehler ermöglichte es jedem mit der Telefonnummer eines Kunden, auf seinen Namen, seine Adresse, seine Rechnungskontonummer, seine Sicherheits-PIN und in einigen Fällen sogar auf seine Steueridentifikationsnummern zuzugreifen, berichtete unsere Schwesterseite ZDNet exklusiv am Donnerstag.

Der Fehler, der inzwischen behoben wurde, wurde in einer T-Mobile-Subdomain gefunden, die Mitarbeiter als Kundenbetreuungsportal für den Zugriff auf interne Tools verwenden. Jeder könnte jedoch nach der Subdomain suchen - promovool.t-mobile.com - und eine versteckte API würde Kundendaten anzeigen, wenn die Handynummer dieser Person am Ende der Webadresse hinzugefügt würde, berichtete ZDNet.

Mehr zur Cybersicherheit

  • Cybersicherheit im Jahr 2020: Acht erschreckende Vorhersagen
  • Die 10 wichtigsten Cyberangriffe des Jahrzehnts
  • So werden Sie ein Cybersicherheitsprofi: Ein Spickzettel
  • Berühmter Betrüger Frank Abagnale: Kriminalität ist heute 4.000 Mal einfacher

Obwohl die Subdomain für die Verwendung durch Mitarbeiter vorgesehen war, war sie nicht durch ein Kennwort geschützt, sodass jeder auf diese Informationen sowie auf die Erweiterung, Kundenkonten und Daten zugreifen konnte.

Die Ausgabe unterstreicht die Bedeutung der Sicherung interner Tools in jedem Unternehmen. Zum einen sollte sich die Subdomain nicht auf einer öffentlichen IP-Adresse befinden, sondern für mehr Schutz hinter einer Firewall. Für den Zugriff auf das Portal und die Informationen sollte auch eine Authentifizierung erforderlich sein.

Unternehmen sollten ihre eigenen internen Datenbanken und Tools prüfen, um sicherzustellen, dass keine Sicherheitsprobleme wie diese lauern. Die finanziellen und Reputationsfolgen eines Verstoßes sind schwerwiegend: Für Unternehmen belaufen sich die Kosten eines Datenverstoßes laut Kaspersky Lab auf rund 1, 23 Millionen US-Dollar und für KMU auf 120.000 US-Dollar. Bei mehr als 74 Millionen Kunden hätte eine Verletzung der T-Mobile-Daten erhebliche Auswirkungen.

Die fehlerhafte API wurde T-Mobile im April vom Sicherheitsforscher Ryan Stevenson gemeldet. Das Unternehmen hat die Website am nächsten Tag offline geschaltet und Stevenson 1.000 US-Dollar an Bug Bounty zugesprochen, berichtete ZDNet.

"Es gibt ein Bug-Bounty-Programm, mit dem Forscher uns auf Schwachstellen aufmerksam machen können, was hier passiert ist, und wir unterstützen diese Art der verantwortungsvollen und koordinierten Offenlegung", sagte ein T-Mobile-Sprecher gegenüber ZDNet. "Der Fehler wurde so schnell wie möglich behoben und wir haben keine Beweise dafür, dass auf Kundeninformationen zugegriffen wurde."

Dies ist nicht der erste Sicherheitsvorfall dieser Art von T-Mobile: Dieser Fehler ist nahezu identisch mit einer exponierten API in einer anderen Subdomain, die im letzten Jahr aufgedeckt wurde und die auch Kundendaten enthüllte, berichtete Motherboard. Obwohl T-Mobile gesagt hatte, es habe keine Beweise dafür gefunden, dass diese Daten von böswilligen Parteien gestohlen wurden, wurde später bekannt, dass Hacker den Fehler seit Wochen ausnutzen.

Die Website promovool.t-mobile.com ist seit mindestens Oktober 2017 online, berichtete ZDNet.

Die großen Imbissbuden für Technologieführer:
  • Ein auf der Website von T-Mobile gefundener Fehler ermöglichte es jedem mit der Telefonnummer eines Kunden, in einigen Fällen auf seinen Namen, seine Adresse, seine Rechnungskontonummer, seine Sicherheits-PIN und seine Steueridentifikationsnummer zuzugreifen.
  • Der Fehler zeigt, dass Unternehmen sicherstellen müssen, dass ihre internen Portale und Tools sicher sind.

Cybersecurity Insider Newsletter

Stärken Sie die IT-Sicherheitsabwehr Ihres Unternehmens, indem Sie sich über die neuesten Nachrichten, Lösungen und Best Practices zur Cybersicherheit auf dem Laufenden halten. Lieferung dienstags und donnerstags

Heute anmelden

© Copyright 2020 | mobilegn.com