Un problème dans l’application T-Mobile permet aux utilisateurs de voir les informations de compte d’autres personnes

les clients de T-Mobile ont déclaré qu’ils pouvaient voir le compte et les informations de facturation d’autres personnes après s’être connectés à l’application mobile officielle de l’entreprise.

Selon les rapports des utilisateurs sur les réseaux sociaux, les informations exposées comprenaient les noms, numéros de téléphone, adresses, soldes de comptes et détails de carte de crédit comme les dates d’expiration et les quatre derniers chiffres.

Comme l’a rapporté pour la première fois The Verge, certains des clients concernés par ce problème pouvaient voir les informations sensibles de plusieurs autres personnes lorsqu’ils étaient connectés à leur propre compte.

Alors qu’un grand nombre de rapports ont commencé à apparaître plus tôt dans la journée sur Reddit et Twitter, certains clients de T-Mobile ont également affirmé avoir vécu ce phénomène au cours des deux dernières semaines.

« J’ai signalé ce problème lorsqu’il est apparu pour la première fois ici sur Reddit il y a plus de deux semaines et j’ai envoyé des photos des informations de l’autre personne à son équipe de sécurité. Aucune réponse, mais wow, juste wow », a déclaré un client.

« J’ai déjà évoqué ce problème avec les représentants de T-Mobile, ainsi que mon problème d’être acheminé vers la ligne d’activation du métro lorsque mes services téléphoniques sont suspendus », a ajouté un autre.

@TMobile why do I have access to multiple accounts and private information on my T-Mobile App?

I have brought this issue up with T-Mobile representatives in the past, as well as my issue with being routed to metro activation line when my phone services are suspended.

— Iameve (@darko_afia) September 20, 2023

T-Mobile affirme qu’aucune cyberattaque n’a provoqué cet incident et que ses systèmes n’ont pas été piratés.

De plus, malgré le nombre important de clients signalant avoir été affectés par ce problème, T-Mobile affirme que l’incident a eu un impact limité, n’affectant que moins de 100 personnes.

« Il n’y a eu aucune cyberattaque ni violation chez T-Mobile », a déclaré un porte-parole à Breachtrace lorsqu’on lui a demandé plus de détails.

« Il s’agissait d’un problème temporaire du système lié à une mise à jour technologique planifiée du jour au lendemain impliquant des informations de compte limitées pour moins de 100 clients, qui a été rapidement résolu. »

Neuf violations de données depuis 2018
En mai, T-Mobile a révélé la deuxième violation de données depuis le début de 2023 après que des centaines de clients ont vu leurs informations personnelles exposées entre fin février et mars après que des attaquants ont piraté les systèmes de l’opérateur.

En janvier, l’opérateur de téléphonie mobile a révélé une autre violation de données après le vol des informations sensibles de 37 millions de clients à l’aide de l’une de ses interfaces de programmation d’applications (API).

Depuis 2018, T-Mobile a été touché par sept autres violations de données :

• En août 2018, les attaquants ont accédé aux données d’environ 3 % de tous les clients de T-Mobile.
• En 2019, T-Mobile a dévoilé les informations de compte d’un nombre non divulgué de clients prépayés.
• En mars 2020, les employés de T-Mobile ont été touchés par une violation exposant leurs informations personnelles et financières.
• En décembre 2020, des acteurs malveillants ont accédé aux informations réseau exclusives des clients (numéros de téléphone, enregistrements d’appels).
• En février 2021, des attaquants inconnus ont accédé sans autorisation à une application interne de T-Mobile.
• En août 2021, des pirates se sont frayés un chemin à travers le réseau de T-Mobile à la suite d’une violation de l’un de ses environnements de test.
• En avril 2022, le célèbre gang d’extorsion Lapsus$ a violé le réseau de T-Mobile en utilisant des informations d’identification volées.