Lỗ hổng bảo mật trên trang web Trump Mobile lộ thông tin của hàng chục nghìn khách hàng
Một người đam mê công nghệ vừa phát hiện lỗ hổng bảo mật nghiêm trọng trên trang web Trump Mobile, cho phép bất kỳ ai gửi yêu cầu HTTP đơn giản đều có thể truy cập vào dữ liệu cá nhân của hàng chục nghìn khách hàng. Vấn đề này đã được vá sau khi người phát hiện cố gắng liên hệ nhưng không nhận được phản hồi từ công ty.
Lỗ hổng bảo mật trên trang web Trump Mobile lộ thông tin của hàng chục nghìn khách hàng
Một người đam mê công nghệ vừa phát hiện lỗ hổng bảo mật nghiêm trọng trên trang web Trump Mobile, cho phép bất kỳ ai gửi yêu cầu HTTP đơn giản đều có thể truy cập vào dữ liệu cá nhân của hàng chục nghìn khách hàng. Vấn đề này đã được vá sau khi người phát hiện cố gắng liên hệ nhưng không nhận được phản hồi từ công ty.
Lỗ hổng API đơn giản nhưng nguy hiểm
Công ty khởi nghiệp di động Trump Mobile của cựu Tổng thống Mỹ có thể đang đối mặt với một rắc rối lớn khác khi một chuyên gia bảo mật tuyên bố đã phát hiện một lỗ hổng trên trang web của họ. Người này cho biết lỗ hổng đã bị khai thác để rò rỉ thông tin chi tiết của hàng chục nghìn khách hàng.
Người đứng sau phát hiện này, tự xưng là "Louis", mô tả mình là "một mọt sách công nghệ đang thất nghiệp và có quá nhiều thời gian rảnh rỗi". Ông nhận định rằng dữ liệu của trang web có thể bị thu thập chỉ bằng một yêu cầu POST đơn giản.
"Nó không phải là SQL injection. Điều đó sẽ không tệ đến thế," Louis chia sẻ với The Register. "Đó thực sự là một yêu cầu HTTP rất đơn giản. POST, và sau đó chỉ cần yêu cầu thông tin mình muốn, cơ bản là như vậy."
Theo Louis, hơn 27.000 người đã đặt hàng từ Trump Mobile – thương hiệu điện thoại thông minh và dịch vụ di động "hoàn toàn của Mỹ" – có dữ liệu được bảo vệ lỏng lẻo trên mạng.
Dữ liệu bị lộ bao gồm những gì?
Louis, một chuyên gia CNTT lâu năm từ chối được gọi là nhà nghiên cứu bảo mật, cho biết các loại dữ liệu ông có thể thu thập bao gồm: họ và tên, địa chỉ chính và phụ, địa chỉ email, số điện thoại, số tài khoản/khách hàng, "ID đăng ký" (số đặt hàng trước), và liệu đơn hàng được đặt qua điện thoại hay trực tuyến.
Ông phát hiện ra vấn đề này khi kiểm tra trang web để xem liệu mình có thể tìm thấy số lượng đơn hàng thực tế hay không, và ông đã chú ý đến một số điểm cuối API (API endpoints).
"Tôi đã thử một vài lệnh cơ bản, và nó bắt đầu hiển thị bất kỳ dữ liệu nào tôi muốn. Nó dễ như việc truy cập trang web và nhập một yêu cầu HTTP POST rất đơn giản vào bảng điều khiển," Louis cho biết.
Lỗ hổng trang web chỉ cho phép ông trả về 10 hồ sơ khách hàng tại một thời điểm, nhưng các hồ sơ này đều chứa số khách hàng, mà Louis đã sử dụng để lặp qua tất cả chúng. Trong vòng một giờ, phương pháp này cho phép ông truy cập vào hồ sơ của khoảng 5.000 khách hàng Trump Mobile.
Quy trình tiết lộ thất bại
Sau khi xác nhận vấn đề là có thật và xóa tất cả dữ liệu mà tập lệnh của ông thu thập được, Louis đã cố gắng tiết lộ phát hiện của mình cho Trump Mobile và bất kỳ ai có thể hành động, nhưng không nhận được phản hồi, mặc dù có vẻ như ai đó đã khắc phục sự cố.
The Register cũng đã cố gắng liên hệ với Trump Mobile nhưng tương tự không nhận được gì. Hết cách để tiết lộ, Louis quyết định công khai thông tin, thông báo cho hai nhà sáng tạo YouTube nổi tiếng và là người đặt hàng điện thoại Trump T1, Stephen “Coffeezilla” Findeisen và Charles “penguinz0” White Jr. Các video của họ bao gồm phát hiện này đã cùng nhau thu hút hàng triệu lượt xem.
Chi tiết về chiếc điện thoại Trump T1
Điện thoại cờ bản Trump T1 bắt đầu được giao đến tay khách hàng đặt hàng trước trong tuần này, sau khi ban đầu dự kiến phát hành vào tháng 8 năm 2025.
Toàn bộ câu chuyện thương hiệu kể từ khi được công bố vào tháng 6 năm 2025, vào thời điểm xung đột thương mại Mỹ-Trung leo thang đáng kể, là mọi thứ sẽ được "Sản xuất tại Mỹ".
Tuy nhiên, những hình ảnh kết xuất ban đầu của chiếc T1 đề xuất cho thấy một thiết bị giống iPhone – màu vàng kim, tất nhiên – nhưng những người nhận được đơn hàng trong tuần này xác nhận nó thực chất chỉ là chiếc HTC U-24 Pro được làm lại lớp vỏ (reskinned), một mẫu Android tầm trung của công ty công nghệ Đài Loan ra mắt thị trường vào tháng 6 năm 2024.
Thậm chí, lá cờ Mỹ nổi trên mặt sau của thiết bị cũng chỉ có 11 sọc thay vì 13 sọc, mặc dù tất cả các ngôi sao đều hiện diện.
Khi các con trai của cựu Tổng thống ra mắt thương hiệu Trump Mobile vào năm ngoái, họ hứa hẹn các thiết bị sẽ được sản xuất tại Mỹ, mặc dù công ty sớm loại bỏ điều này khỏi tiếp thị của mình.
Trump T1 được trang bị 512GB bộ nhớ trong, màn hình 120Hz, chip Snapdragon 7, và tất nhiên là ứng dụng Truth Social được cài đặt sẵn. Khách hàng có thể đặt hàng ngay bây giờ để khóa mức giá khuyến mãi mà công ty gọi là, mua T1 với giá 499 USD. Không rõ giá này sẽ tăng lên bao nhiêu trong tương lai. Bạn có thể mua một chiếc HTC U-24 Pro tiêu chuẩn 512GB với giá khoảng tương tự, tùy thuộc vào nhà bán lẻ.
