1分で読めます
| ニュース
ZDNetによると、T-MobileのAPIは、電話番号さえあれば、あらゆる顧客の顧客データを公開していたという。T-Mobileは、同社のバグ報奨金プログラムを通じて報告を受けた後、このAPIを停止し、実際にデータにアクセスされた証拠はないと述べた。
T-モバイルは声明の中で次のように述べた。
バグ報奨金プログラムは、研究者が脆弱性を私たちに知らせるために存在しており、今回まさにそれが起こったのです。私たちはこのような責任ある、組織的な情報開示を支持します。このバグは可能な限り速やかに修正され、顧客情報にアクセスされたという証拠はありません」と広報担当者は付け加えました。
私たちは以前にもこの道を歩んできた
もちろん、T-Mobile は、2017 年 10 月に明らかになった別のサブドメイン上の同様の API についても同じことを言っています。Motherboardは当時、T-Mobile はデータにアクセスされた証拠はないと述べたものの、実際にはデータにアクセスされたと報じています。
漏洩した情報には、氏名、住所、請求先口座番号、納税者番号(該当する場合、つまり企業の場合)が含まれていました。また、カスタマーサポートへの連絡に使うPINも漏洩しており、悪意のある人物がアカウントを乗っ取る可能性がありました。そして当然のことながら、PINはパスワードと同じくらい頻繁に使い回されています。
パスワードやPINを再利用しないでください。絶対にしないでください。
また、T-Mobile のパスワードを変更し、どのサイトでもパスワードを再利用しないようにしてください。
