Semana Anterior, T-Mobile corrigiu um bug em um de seus portais que permitia que hackers armados apenas com seu número de telefone acessassem uma coleção de seus dados pessoais, incluindo sua conta de cobrança da T-Mobile, seu endereço de e-mail e o número de assinante exclusivo padronizado do seu telefone — ou IMSI .
A empresa corrigiu o bug menos de 24 horas depois que a Motherboard o alertou em nome de um pesquisador de segurança que havia encontrado o bug. Esta foi uma resposta extremamente rápida, rápida e louvável. Mas, como se viu, o pesquisador que relatou o bug à T-Mobile não foi o único que o encontrou, e parece que hackers maliciosos estão abusando do bug para fins nefastos por pelo menos algumas semanas.
O bug foi encontrado na API do site da T-Mobile wsg.t-mobile.com . Tudo o que um hacker precisava fazer para tirar vantagem disso era consultar a API para obter um número de telefone, e a API cuspiaria os dados dessa pessoa.
Especialistas em segurança da informação dizem que a T-Mobile deveria ter detectado esse bug há muito tempo, e teria sido simples determinar se alguém o estava explorando.
'Eles obviamente estavam dormindo ao volante'
'A ideia de que o mesmo token [de autenticação] solicitaria tantos números de telefone deve torná-lo relativamente fácil de detectar. Há muitas coisas que deveriam ter sido sinais de alerta para aqueles que monitoram os servidores', Jake Williams, ex-hacker da NSA que agora o Consultor Principal da Rendition InfoSec, disse ao Motherboard. 'Eles estavam obviamente dormindo ao volante com monitoramento.'
Esses tipos de bugs não são tão raros, o que os torna menos desculpáveis hoje, já que outras grandes empresas de telecomunicações os exploraram em casos de alto perfil. Em 2010, o infame hacker Andrew Auernheimer, também conhecido como Weev, aproveitou uma vulnerabilidade semelhante para consultar um servidor web da AT&T e coletar os dados de mais de 100.000 proprietários de iPads.
Consulte Mais informação: O guia da placa-mãe para não ser hackeado
A T-Mobile 'não tem desculpa', acrescentou Williams, referindo-se a esse incidente como um conto de advertência. 'É surpreendente que eles não estivessem procurando por esse tipo de atividade.'
Esse bug da T-Mobile era tão conhecido, aparentemente, que vários hackers de blackhat o estavam explorando à solta. Era tão conhecido que alguém até fez um tutorial no YouTube para explicar como aproveitá-lo que foi carregado no início de agosto.
'Ninguém que eu conheça está vasculhando o YouTube em busca de relatórios de bugs. Então, vou dar a eles um pequeno passe sobre isso', disse Williams. 'Mas quando as coisas se tornam tão conhecidas, há um vídeo tutorial, é ruim e está sendo falado em muitos fóruns. Eu acho que qualquer bom programa de inteligência de ameaças cibernéticas teria ficado sabendo disso.'
Um hacker que atende pelo nome de MLT, que fazia parte de uma equipe de hackers quem hackeou a T-Mobile em 2012 , explicou à Motherboard que o bug foi usado por cibercriminosos tentando seqüestrar contas de mídia social desejáveis, como aquelas com palavras únicas ou uma contagem curta de caracteres pela equipe de suporte da engenharia social da T-Mobile usando dados de conta obtidos usando o bug.
'A T-Mobile sempre teve práticas de segurança terríveis para ser honesto', disse MLT.
Os criminosos usariam o bug para cavar dados em um alvo, depois usariam esses dados para representar o alvo em uma ligação para a equipe de suporte da T-Mobile, convencendo-os a emitir um novo cartão SIM para os hackers. Isso permitiria que eles assumissem as contas de mídia social da vítima e talvez até a conta de e-mail se a vítima usasse um número de telefone para recuperação.
Este é um golpe conhecido como ' troca de sim ,' e é mais comum do que muitos pensam. Em agosto passado, o editor do TechCrunch John Biggs foi vítima disso .
Tem uma dica? Você pode entrar em contato com este repórter com segurança no Signal em +1 917 257 1382, chat OTR em lorenzo@jabber.ccc.de ou e-mail lorenzo@motherboard.tv
Outro hacker de blackhat, que pediu para permanecer anônimo, disse que 'um monte de sim que trocam skids tinha a [vulnerabilidade] e a usaram por um bom tempo', usando o apelativo muitas vezes depreciativo de 'skids' ou ' roteiro infantil ' para significar hackers de baixo nível.
Quando perguntado se eles estão investigando se alguém está explorando esse bug antes de ser corrigido, a T-Mobile simplesmente nos enviou uma declaração.
'Resolvemos a vulnerabilidade que nos foi relatada pelo pesquisador em menos de 24 horas e confirmamos que encerramos todas as formas conhecidas de explorá-la', dizia o comunicado enviado por e-mail. 'Até agora, não encontramos evidências de contas de clientes afetadas como resultado dessa vulnerabilidade'.
Receba seis de nossas histórias favoritas da placa-mãe todos os dias assinando nossa newsletter.