Le site de T-Mobile permettait d'obtenir l'adresse et le code PIN de clients mobiles

Le site de T-Mobile permettait d’obtenir l’adresse et le code PIN de clients mobiles

Par Sébastien Gavois

Le 25 Mai 2018 à 09h33
Internet
1 min 12

Le site de T-Mobile permettait d'obtenir l'adresse et le code PIN de clients mobiles

ZDNet rapporte que le problème, corrigé, venait d'un outil de recherche exposé par erreur sur Internet. À partir d'un numéro de téléphone, il laissait n'importe qui obtenir le nom, l'adresse et le code PIN de la ligne concernée, voire des informations fiscales.

Un appel à une API était ainsi possible, en complétant simplement une URL avec le numéro voulu. Le sous-domaine de l'outil était simplement accessible via les moteurs de recherche, selon nos confrères.

La page a été retirée début avril, une journée après que le chercheur Ryan Stevenson l'a signalé. Il a reçu 1 000 dollars en récompense, via un programme de bug bounty. Selon Motherboard, dans un article d'octobre 2017, des pirates auraient bien exploité cet outil.

Commentaires (12)


Krogoth
Le 25/05/2018 à 09h46

Pour moi le code PIN devrait être crypté en base…ca reste un mot de passe.


Horrigan
Le 25/05/2018 à 11h24

Chiffré ou pas, le soucis c’était le moteur de recherche, qui lui doit déchiffrer les données pour les présenter a l’utilisateur.


Patch Abonné
Le 25/05/2018 à 14h31







Krogoth a écrit :



Pour moi le code PIN devrait être crypté



Ou pas.

je n’ai rien à foutre des cryptes, je ne vois pas pquoi j’irais y inscrire mon code PIN.



Krogoth
Le 25/05/2018 à 15h24







Horrigan a écrit :



Chiffré ou pas, le soucis c’était le moteur de recherche, qui lui doit déchiffrer les données pour les présenter a l’utilisateur.





Au même titre que les mots de passe un utilisateurs n’a pas à voir son code PIN en clair….





Patch a écrit :



Ou pas.

je n’ai rien à foutre des cryptes, je ne vois pas pquoi j’irais y inscrire mon code PIN.





Tu n’as pas la main sur ce qui est stockée en base…donc autant qu ce soit fait selon les règles élémentaire de sécurité.



Patch Abonné
Le 25/05/2018 à 19h13







Krogoth a écrit :



Tu n’as pas la main sur ce qui est stockée en base…donc autant qu ce soit fait selon les règles élémentaire de sécurité.



Je n’ai la main sur aucune crypte, puisque je n’en possède pas. Je n’ai d’ailleurs même pas de tombe tout court.

Et à part une porte blindée avec un bon cadenas, je vois mal comment on peut sécuriser une crypte.



Geolim4
Le 26/05/2018 à 19h09







Krogoth a écrit :



Pour moi le code PIN devrait être crypté en base…ca reste un mot de passe.





Difficile de ne pas faire de chiffrement bi-directionnel dans ce cas-là, pas pour le PIN, mais pour le PUK, car ton opérateur est le seul à le savoir si tu perds ton PIN et que tu n’a pas (ou plus) ton PUK.



Par contre je suis d’accords qu’il ne doit pas être stocké en clair mais au moins chiffré en AES256 (ou équivalent) avec une clé stocké ailleurs (Redis par exemple).



Edit: En fait vu qu’il s’agit d’une API, rien ne nous dit qu’au final ce n’était pas stocké de manière chiffré, là il s’agit bêtement d’un endpoint exposé là ou il aurait pas dû :(



“Nous sommes désolés. Nous n’avons pas pris conscience de la mesure de notre responsabilité envers les données personnelles de nos clients. Dorénavant, nous allons tout mettre en oeuvre pour respecter les données personnelles qui nous sont confiées.” (méthode Zuckerberg)


Vous excellez dans l’art de prendre les gens pour des cons. Je m’incline et déclare forfait.


Patch Abonné
Le 26/05/2018 à 21h37







Radithor a écrit :



Vous excellez dans l’art de prendre les gens pour des cons. Je m’incline et déclare forfait.



Je ne prend jamais les gens pour des cons. Mais je n’oublie pas qu’ils le sont, comme les publicitaires <img data-src=" />



Vous me décevez, elle est médiocre celle-là. Vous m’auriez traité de con à la 2e personne, j’aurais apprécié. Là vous visez à côté, c’est moche. Et reprendre un de mes commentaires, ça manque méchamment d’originalité, ça me fait perdre tout intérêt pour notre discussion. Je veux bien ressentir votre mépris à mon égard, mais montrez vous innovant (ou insultez moi plus directement). Je sais que vous valez mieux que ça.


Patch Abonné
Le 27/05/2018 à 09h43







Radithor a écrit :



Vous me décevez, elle est médiocre celle-là. Vous m’auriez traité de con à la 2e personne, j’aurais apprécié. Là vous visez à côté, c’est moche. Et reprendre un de mes commentaires, ça manque méchamment d’originalité, ça me fait perdre tout intérêt pour notre discussion. Je veux bien ressentir votre mépris à mon égard, mais montrez vous innovant (ou insultez moi plus directement). Je sais que vous valez mieux que ça.



Le niveau n’est pas assez élevé pour ca… Va falloir faire mieux <img data-src=" />



Pourquoi faire mieux ? Et merci de vous intéresser à mon “niveau” : c’est rare les gens empathiques comme vous.


Fermer