Один из крупнейших американских операторов сотовой связи, компания AT&T, допустил серьезную утечку личных данных своих абонентов. Утечку выявила компания Errata Security, хотя одновременно информация об уязвимости появилась на социальном сервисе Reddit. Некоторые пользователи Reddit даже успели написать специальные скрипты, которые автоматически вводили адреса электронной почты на сайте AT&T, собирая связанные с ними телефонные номера.
То есть суть уязвимости и заключалась в том, что «дыра» на веб-сайте позволила всем желающим видеть номера абонентов AT&T, просто вводя на сайте их адрес электронной почты. Уязвимость была связана со специальной формой на сайте AT&T, предназначенной для восстановления забытого AT&T User ID по адресу электронной почты. Вместо отправки User ID на введенный электронный адрес, страница попросту выдавала все мобильные номера, связанные с аккаунтом указанного абонента.
Через несколько дней после обнаружения уязвимости, представители AT&T сообщили о том, что исправили ее. «Для нас очень важно защищать личную информацию пользователей. Хотя изначально эта функция должна была помогать пользователям, мы решили убрать ее, чтобы избежать неправомерного применения», – говорится в пресс-релизе AT&T.
В свою очередь, эксперты Errata Security заметили, что первоначально разработчики AT&T специально ввели такую функцию на данной странице, чтобы пользователям было легче вспомнить забытые данные своего аккаунта. Тогда они почему-то не сообразили, что функция будет компрометировать личную информацию людей. Хотели как лучше, а получилось как всегда.