我不确定这是否是发布此内容的正确社区,如果不是,请指出正确的方向。
我最近发现我的手机服务提供商(MVNO)有一个未经身份验证的 API,它返回(除其他外)我的信用卡信息(姓名、号码、到期日期、地址、CVV)、散列密码和帐号,以及我手机的 ESN数字。像这样的东西:
要求
curl --data "phone=1234567890" https://example.com/api/getdata
回复
请注意:我已经删除了很多数据并重命名了键。还有一堆看起来不是很重要的领域。
"account": {
"phoneNumber": "1234567890",
"ESN": "1111111111111111111",
"startDate": "01/01/2010 00:00:00",
"payment": {
"card": "1111111111111111",
"CVV": "111",
"name": "My Name",
"expMonth": "01",
"expYear": "2021",
"street": "111 Example Street",
"zip": "11111"
},
"accountNumber": 11111111,
"balanceEndDate": "01/01/2020 00:00:00",
"balance": 0,
"status": "Active",
"planId": 00000,
"password": "<what looks like a salted MD5 hash.>"
}
这些数据足以造成很大的破坏。除了使用该卡外,他们还可以将我的号码转移到其他运营商,并使用 2 因素身份验证将密码重置为我的许多最安全相关的帐户(想想银行)。
前几天我通过他们的网站发现了这一点。他们有一个“充值”选项,可以获取您的电话号码并告诉您余额并让您充值。当我意识到他们在没有登录的情况下告诉我余额时,我打开开发人员工具查看 ajax 响应。令我惊讶(和恐惧)的是,我看到了我的信用卡信息。
该怎么办?
除了 Visa/MasterCard,我不确定应该向谁报告。是否有任何政府/行业团体感兴趣?我在美国。