Un dominio de la web de T-Mobile deja millones de información de la cuenta de los clientes — incluyendo sus nombres, direcciones y números de identificación de impuestos a veces — sin protección para que cualquiera pueda acceder. El sitio web está diseñado como un portal de atención al cliente para los empleados, según ZDNet, que primero divulgó el fallo de seguridad, pero estaba disponible para encontrar a través de motores de búsqueda y no requiere ninguna contraseña para acceder a las herramientas.
Agregar número de teléfono de un cliente al final de la dirección web rindió su nombre completo, dirección postal, número de cuenta de facturación y algunos datos de la cuenta, como si eran vencidos en una cuenta o si su servicio había sido suspendido. En algunos casos, números de impuesto identificación fueron expuestos así, y los datos hace referencia a la cuenta de pines los clientes usan para verificar sus cuentas con la ayuda.
El defecto de la página web tuvo que hacer con una API no protegida, que T-Mobile sin conexión un día después de que este error fue reportado a través del programa bug bounty. El investigador, Ryan Stevenson, recibió $1.000 para el hallazgo. Un portavoz dijo a ZDNet que no tenía ninguna evidencia para sugerir que indebidamente haya accedido información del cliente. El sitio web de afectados podría haber sido en vivo desde en octubre por lo menos