T-Mobile (USA) – bug umożliwiający pobranie m.in. numeru IMSI / e-mail ofiary – posiadając jedynie jej numer telefonu

Błąd występował w API znajdującym się tutaj: wsg.t-mobile.com (poza e-mailami, i numerami IMSI – można było pobrać i inne dane – patrz koniec posta).

Podatność została zgłoszona i w niecałe 24 godziny załatana (badacz, który poinformował o problemie otrzymał $1000 w ramach bug bounty).

Ale to nie koniec historii, okazuje się że bug był znany już wcześniej w light–necie ;-) Czyli na zwykłym Youtube – i to od przeszło 2 miesięcy :

PS
Jeśli chcesz zobaczyć ten  – i wiele innych realnych case-ów – zapraszamy na nasze szkolenie z bezpieczeństwa API REST.

–ms