Postřehy z bezpečnosti: můj mobil, váš mobil

26.02.2018

Krádež mobilní identity

Minulý rok hackeři nalezli zajímavou webovou stránku, obsluhovanou servery T-Mobile.com. Ovšem kromě serverů stránku ochotně obsluhovala i produkční databáze. Zkrátka, pokud jste zadali konkrétní URL, získali jste pár citlivých informacích o samotných zákaznících. Nic převratného, žádná hesla nebo kreditní karty. Ale obyčejný e-mail, identifikátor SIM karty a čísla bankovního účtu. To stačí, aby útočník zavolal na zákaznickou linku T-Mobile, vydával se za vás, nechal si vystavit SIM kartu s vaším číslem, a než se nadějete, vaše identita je ukradena. Což bolí, navíc v době, kdy ještě spoléháme na mobil jako spolehlivý druhý faktor ochrany.

Server Motherboard zveřejnil některé příběhy obětí. Jedna z nich popisuje, jak zničehonic přestal fungovat telefon, a než operátor za hodinu zareagoval, bankovní účet byl o 2 000 dolarů lehčí. Jiný útok zaznamenal uživatel během sobotní noci, ale přičítal ho chybovému iPhonu. Z účtu mu však zmizelo 1 200 dolarů. O svůj příběh se podělil i uživatel, který není u T-Mobile přímo držitelem účtu, ale pouze tzv. autorizovaným uživatelem. Tomu pro změnu na pobočce nesdělili žádné informace, takže zloděj měl dostatek času, aby si nechal přes přesměrovaný telefon zaslat dokonce duplikát bankovní karty.

Díra do systému byla tak známá, že o ní doteď existuje YouTube video s návodem i pro hackery začátečníky.