Niebezpiecznik podał niesamowicie niepokojące informacje na temat błędów w zabezpieczeniach usług zarządzania kontem MiBOA (aplikacja mobilna) oraz iBOA (internetowy serwis abonencki). Okazuje się, że użytkownicy logujący się do powyższych serwisów uzyskują dostęp do kont innych klientów, co stwarza ogromne zagrożenie dla bezpieczeństwa danych abonentów. Do redakcji Antyweb również spływają sygnały o wadliwych zabezpieczeniach.
[Aktualizacja] Niebezpieczny błąd w usługach abonenckich T-Mobile - środki klientów poważnie zagrożone
Fakt posiadania dostępu do konta to jedno - możliwość wprowadzenia zmian w usługach to drugie. Użytkownicy, którzy otrzymali dostęp nie do swojego abonamentu mogą nie tylko podejrzeć dane, ale również wykonać właściwie wszystkie newralgiczne operacje. Do nich należy włączenie różnorakich usług, a także doładowanie konta "na kartę" obciążając tym samym rachunek ofiary. Możliwe jest również ustalenie historii ostatnich rozmów - nie trzeba tłumaczyć, że dostęp do takich możliwości może być opłakany w skutkach. Jak słusznie zauważa Niebezpiecznik, przyczyn takiego stanu rzeczy może być kilka.
Wśród prawdopodobnych przyczyn błędu wymienia się "mieszanie sesji", które polega na tym, że logując się do usługi zamieniane są sesje aktualnie logujących się użytkowników i tym samym dokonując próby uzyskania dostępu do naszego konta, otrzymujemy dostęp do innego. W związku z tym niezalecane jest logowanie się do T-Mobile aż do momentu, w którym będzie pewne, iż usterka została skutecznie naprawiona. Z drugiej strony może być to błąd zupełnie innej natury, przed którym nie ochroni nas brak naszej aktywności na koncie. Niebezpiecznik zaleca po wszystkim sprawdzić stan usług i wszelkie nieprawidłowości zgłaszać drogą reklamacji.
Jako, że jestem długoletnim klientem sieci T-Mobile, postanowiłem sprawdzić jak wygląda sytuacja w serwisie iBOA. Zostałem poprawnie zalogowany na swoje konto, wszystkie moje dane były "na swoim miejscu". Nie zauważyłem ponadto żadnych zmian wprowadzonych na swoim koncie - zatem problem nie dotyczy wszystkich użytkowników, ale sądząc po tym, co dzieje się na fanpage'u T-Mobile i sygnałach od Was i w innych serwisach - sprawa jest poważna i nawet, jeżeli nie dotyka ona wszystkich, to część użytkowników jest poważnie zagrożona. Z tego powodu zwróciliśmy się do T-Mobile z zapytaniem o przyczyny tego błędu. Pytamy również o to, czy zostały już wdrożone odpowiednie środki zaradcze i czy klienci, którzy w szczególny sposób odczuli skutki błędu w zabezpieczeniach mogą liczyć na bezproblemowe zwroty (np. w wypadku, gdy konto zostanie obciążone m. in. doładowaniami na prepaidy). Jak tylko operator zwróci się do nas z odpowiedzią na zadane pytania, wpis zostanie zaktualizowany i poinformujemy o tym w mediach społecznościowych. Zostańcie z nami!
Aktualizacja: wydaje się, że sytuacja została opanowana - automatyczne logowanie zostało wyłączone, uwierzytelnienie jest możliwe tylko za pomocą jednorazowych kodów SMS.
Aktalizacja 2:
Otrzymaliśmy odpowiedź na zadane operatorowi pytania:
W odniesieniu do przesłanych pytań potwierdzamy, że wystąpiły przypadki nieprawidłowych logowań do systemów self-care. Ostatnie błędne logowanie mogło mieć miejsce nie później niż dziś, o godzinie 10 rano. Nasi specjaliści niezwłoczne podjęli działania naprawcze, w celu przywrócenia pełnej funkcjonalności aplikacji. Wszystkie dane Klientów są bezpieczne.
Utrudnienia mogły dotyczyć części Klientów, którzy mieli aktywną opcję automatycznego uwierzytelniania i korzystali z serwisów wczoraj w godzinach popołudniowych i wieczornych.
Dla uniknięcia wszelkich wątpliwości i w trosce o dane Klientów podjęliśmy decyzję o tymczasowym wyłączeniu dostępu do aplikacji self-care oraz w dalszym kroku wprowadzeniu dodatkowo konieczności logowania wyłącznie z pomocą jednorazowych SMS-ów. Możliwość korzystania z funkcji autologowania zostanie ponownie udostępniona po wdrożeniu dodatkowego mechanizmu zabezpieczającego w naszych systemach.
Przepraszamy wszystkich Klientów, których dotknęły opisane powyżej utrudnienia. Wszelkich informacji w tej sprawie udzielać będą konsultanci Biura Obsługi Abonenta (tel. 602900000 lub e-mail: boa@t-mobile.pl). Każde zapytanie zostanie indywidualnie zweryfikowane.
~Piotr Żaczko - T-MOBILE POLSKA S.A., Biuro Prasowe
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu