Британский мобильный оператор связи подвергает риску пользовательские данные

Редферн получил электронное письмо от Three с просьбой оценить качество, предоставляемых компанией услуг. Заманчивым был тот факт, что участвующие в опросе могли получить в подарок iPad. Эксперт перешел про ссылке в письме и открыл ее в браузере Firefox. Редферн обнаружил, что сайт threemicrosites.co.uk (в настоящее время заблокирован) отправлял Ajax-запросы к API (threemicrosites.co.uk/api/getuser/p/44xxxxxxxxxx/, где xxxxxxxxxx является номером телефона пользователя). Запрос осуществлялся в виде незашифрованного текста при помощи HTTP-соединения, передавая номер мобильного телефона Редферна в URL. Ответ включал в себя номер учетной записи, полное имя и электронную почту Редферна. Информация от API была представлена в формате JSON.

ИБ-эксперт считает, что рассекреченные данные могут быть использованы злоумышленниками в кибератаках с эксплуатацией методов социальной инженерии и спам-атаках. По словам Редферна, Three не использовала личную информацию пользователей в корыстных целях, однако представители компании не отреагировали на вопрос эксперта о том, когда именно ошибка будет исправлена.