Engenheiro expõe falha de segurança da T-Mobile que exibe uma lista de números de telefone de cada cliente
Um engenheiro de segurança técnica expôs uma falha potencialmente séria no programa de recompensas da T-Mobile que lista todos os números de telefone dos clientes. Em uma postagem recente no LinkedIn, ele mostrou uma captura de tela dessa lista aparecendo na página de promoções de uma empresa.
Vídeo em destaque
Outros clientes expressaram indignação com o que consideraram uma violação óbvia de segurança, entre outros problemas com a operadora.
Lista gratuita de todos os números de telefone de clientes da T-Mobile
Na semana passada, o engenheiro de segurança da Arctic Wolf, Jake Ashton, postou uma captura de tela da página de promoções do site da T-Mobile pedindo que ele confirmasse seus dados. Depois de inserir seu nome e sobrenome, ele pediu que escolhesse um número em um menu suspenso.
A lista que apareceu aparentemente incluía muitos números de telefone – muito mais do que o próprio Ashton alguma vez afirmou. Ele não gostou das implicações.
“Ei, T-Mobile, talvez práticas como ter todos os números de telefone de seus clientes disponíveis em uma lista selecionável sejam o motivo pelo qual você continua sendo hackeado”, sugeriu Ashton. “De quem foi essa ideia?”
Mais tarde, Ashton excluiu a postagem depois que alguém disse que seu número estava na lista exibida, mas seguiu com uma explicação sobre como ele produziu e testou os resultados. Outro indivíduo – um não cliente – descobriu a mesma coisa. O engenheiro disse ainda que contatou a T-Mobile e não ficou impressionado com a resposta.
“Eu postei porque sou um cliente frustrado da T-Mobile que recebe uma notificação de violação deles anualmente. Tudo o que eles me deram em troca foi o monitoramento de crédito da Experian”, escreveu ele. “Quero uma operadora de telefonia celular que valorize minhas informações e não use atalhos.”
Ashton não está longe da verdade. A empresa sofreu hacks confirmados quase todos os anos de 2015 a 2023. Em junho de 2025, hackers reivindicaram uma violação da T-Mobile em junho que incluía mais de 64 milhões de registros.
“Este era um cenário de agulha em um palheiro e implantamos uma correção no fim de semana”, disse um porta-voz da T-Mobile ao Daily Dot por e-mail.
O porta-voz acrescentou que o incidente foi “uma condição muito restrita que só poderia ocorrer após a conversão de uma conta de consumidor em uma conta comercial, na qual um cliente autenticado poderia ter visto uma lista limitada de outros números de telefone associados à mesma conta comercial”, e que “nenhum outro dado de cliente de qualquer tipo era visível, como nomes, detalhes de uso, informações de cobrança ou outras informações identificáveis ou pessoais”.
“É por isso que continuo recebendo chamadas de spam?”
Em um comentário sobre a nova postagem de Ashton, o Diretor Sênior da Divisão de Validação de Segurança Avançada da T-Mobile, Chris Wallace, comentou que eles “foram capazes de reproduzir a parte autenticada e resolver essa lógica”. Embora a empresa afirme que resolveu o problema, muitos clientes continuam chateados.
O pessoal do X expressou suas frustrações com a empresa e seus constantes problemas de segurança de dados.
“A T-Mobile tinha o número de telefone de cada cliente em um menu suspenso”, escreveu @CamHustles. “Não é necessário fazer login.”
“Mano, o que?”
“É por isso que continuo recebendo chamadas de spam @TMobile todos os dias?!” perguntou @meenadgaf.
“Como cliente da @TMobile, estou ansioso para ingressar na ação coletiva contra eles por esta violação da @FCC”, disse @cryptoquick.
No Reddit, alguns membros do sub T-Mobile contestaram a ideia de que isso fosse um problema. Os comentaristas alegaram que Ashton devia estar logado e via apenas seus próprios números de telefone. No entanto, a empresa respondeu em uma resposta X com uma declaração sugerindo que a falha de segurança era real, embora limitada.
“Esta era uma condição muito restrita que só poderia ocorrer após a conversão de uma conta de consumidor em uma conta comercial, na qual um cliente autenticado poderia ter visto uma lista limitada de outros números de telefone associados à mesma conta comercial”, afirmou a conta. “Implantamos uma correção no fim de semana.”
“Isso é o que você obtém de uma empresa de marketing que vende tecnologia”, brincou u/dr_octopi.
A Internet é caótica, mas vamos detalhar isso para você em um e-mail diário. Inscreva-se no boletim informativo do Daily Dot aqui.
