Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Le site de T-Mobile permettait d’obtenir l’adresse et le code PIN de clients mobiles

Le site de T-Mobile permettait d'obtenir l'adresse et le code PIN de clients mobiles

Le 25 mai 2018 à 09h33

ZDNet rapporte que le problème, corrigé, venait d'un outil de recherche exposé par erreur sur Internet. À partir d'un numéro de téléphone, il laissait n'importe qui obtenir le nom, l'adresse et le code PIN de la ligne concernée, voire des informations fiscales.

Un appel à une API était ainsi possible, en complétant simplement une URL avec le numéro voulu. Le sous-domaine de l'outil était simplement accessible via les moteurs de recherche, selon nos confrères.

La page a été retirée début avril, une journée après que le chercheur Ryan Stevenson l'a signalé. Il a reçu 1 000 dollars en récompense, via un programme de bug bounty. Selon Motherboard, dans un article d'octobre 2017, des pirates auraient bien exploité cet outil.

Le 25 mai 2018 à 09h33

Commentaires (12)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Pour moi le code PIN devrait être crypté en base…ca reste un mot de passe.

votre avatar

Chiffré ou pas, le soucis c’était le moteur de recherche, qui lui doit déchiffrer les données pour les présenter a l’utilisateur.

votre avatar







Krogoth a écrit :



Pour moi le code PIN devrait être crypté



Ou pas.

je n’ai rien à foutre des cryptes, je ne vois pas pquoi j’irais y inscrire mon code PIN.


votre avatar







Horrigan a écrit :



Chiffré ou pas, le soucis c’était le moteur de recherche, qui lui doit déchiffrer les données pour les présenter a l’utilisateur.





Au même titre que les mots de passe un utilisateurs n’a pas à voir son code PIN en clair….





Patch a écrit :



Ou pas.

je n’ai rien à foutre des cryptes, je ne vois pas pquoi j’irais y inscrire mon code PIN.





Tu n’as pas la main sur ce qui est stockée en base…donc autant qu ce soit fait selon les règles élémentaire de sécurité.


votre avatar







Krogoth a écrit :



Tu n’as pas la main sur ce qui est stockée en base…donc autant qu ce soit fait selon les règles élémentaire de sécurité.



Je n’ai la main sur aucune crypte, puisque je n’en possède pas. Je n’ai d’ailleurs même pas de tombe tout court.

Et à part une porte blindée avec un bon cadenas, je vois mal comment on peut sécuriser une crypte.


votre avatar







Krogoth a écrit :



Pour moi le code PIN devrait être crypté en base…ca reste un mot de passe.





Difficile de ne pas faire de chiffrement bi-directionnel dans ce cas-là, pas pour le PIN, mais pour le PUK, car ton opérateur est le seul à le savoir si tu perds ton PIN et que tu n’a pas (ou plus) ton PUK.



Par contre je suis d’accords qu’il ne doit pas être stocké en clair mais au moins chiffré en AES256 (ou équivalent) avec une clé stocké ailleurs (Redis par exemple).



Edit: En fait vu qu’il s’agit d’une API, rien ne nous dit qu’au final ce n’était pas stocké de manière chiffré, là il s’agit bêtement d’un endpoint exposé là ou il aurait pas dû :(


votre avatar

“Nous sommes désolés. Nous n’avons pas pris conscience de la mesure de notre responsabilité envers les données personnelles de nos clients. Dorénavant, nous allons tout mettre en oeuvre pour respecter les données personnelles qui nous sont confiées.” (méthode Zuckerberg)

votre avatar

Vous excellez dans l’art de prendre les gens pour des cons. Je m’incline et déclare forfait.

votre avatar







Radithor a écrit :



Vous excellez dans l’art de prendre les gens pour des cons. Je m’incline et déclare forfait.



Je ne prend jamais les gens pour des cons. Mais je n’oublie pas qu’ils le sont, comme les publicitaires <img data-src=" />


votre avatar

Vous me décevez, elle est médiocre celle-là. Vous m’auriez traité de con à la 2e personne, j’aurais apprécié. Là vous visez à côté, c’est moche. Et reprendre un de mes commentaires, ça manque méchamment d’originalité, ça me fait perdre tout intérêt pour notre discussion. Je veux bien ressentir votre mépris à mon égard, mais montrez vous innovant (ou insultez moi plus directement). Je sais que vous valez mieux que ça.

votre avatar







Radithor a écrit :



Vous me décevez, elle est médiocre celle-là. Vous m’auriez traité de con à la 2e personne, j’aurais apprécié. Là vous visez à côté, c’est moche. Et reprendre un de mes commentaires, ça manque méchamment d’originalité, ça me fait perdre tout intérêt pour notre discussion. Je veux bien ressentir votre mépris à mon égard, mais montrez vous innovant (ou insultez moi plus directement). Je sais que vous valez mieux que ça.



Le niveau n’est pas assez élevé pour ca… Va falloir faire mieux <img data-src=" />


votre avatar

Pourquoi faire mieux ? Et merci de vous intéresser à mon “niveau” : c’est rare les gens empathiques comme vous.

Le site de T-Mobile permettait d’obtenir l’adresse et le code PIN de clients mobiles

Fermer