T-Mobile (USA) – bug umożliwiający pobranie m.in. numeru IMSI / e-mail ofiary – posiadając jedynie jej numer telefonu

11 października 2017, 14:02 | W biegu | 0 komentarzy
Tagi: , ,
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Błąd występował w API znajdującym się tutaj: wsg.t-mobile.com (poza e-mailami, i numerami IMSImożna było pobrać i inne dane – patrz koniec posta).

Podatność została zgłoszona i w niecałe 24 godziny załatana (badacz, który poinformował o problemie otrzymał $1000 w ramach bug bounty).

Ale to nie koniec historii, okazuje się że bug był znany już wcześniej w lightnecie ;-) Czyli na zwykłym Youtube – i to od przeszło 2 miesięcy :

PS
Jeśli chcesz zobaczyć ten  – i wiele innych realnych case-ów – zapraszamy na nasze szkolenie z bezpieczeństwa API REST.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz