Trump Mobile vuoti 27 000 asiakkaan henkilötiedot: yksi POST-pyyntö paljasti kaiken
Trump Mobilen T1-puhelimen ennakkotilausjärjestelmä vuoti nimet, osoitteet ja puhelinnumerot yhden HTTP-pyynnön kautta. Syynä oli rajapinta, jota olisi voinut iteroida lapsikin.
Tiivistelma
Trump Mobile vahvisti 22.5.2026 noin 27 000 asiakkaan henkilötietojen altistumisen. Kolmannen osapuolen alustan rajapinta luovutti tietoja peräkkäisesti numeroitujen tilaustunnusten perusteella ilman pääsyrajoituksia. Maksu- ja tunnistautumistietoja ei vuotanut.
Yksi POST-pyyntö riitti. Sillä sai ulos kymmenen asiakkaan henkilötiedot kerrallaan, ja kun tilausnumeroon lisäsi yhden, seuraavat kymmenen tulivat perässä. Näin Trump Mobilen T1-puhelimen ennakkotilaajien tiedot vuosivat tutkijoiden käsiin toukokuussa 2026.
Trump Mobile vahvisti tapauksen 22.5.2026. Vuodossa altistui nimet, sähköpostiosoitteet, postiosoitteet, puhelinnumerot, tilausnumerot ja ennakkotilauksen rekisteröintitunnukset noin 27 000 asiakkaalta. Maksu- ja tunnistautumistietoja ei vuotanut, mikä on tässä tapauksessa ainoa lohduttava yksityiskohta.
Tapaus alkoi yksittäisistä asiakasvalituksista. Pari ennakkotilaajaa kertoi sosiaalisessa mediassa nähneensä toisten asiakkaiden tietoja omilla tilisivuillaan, ja tieto kantautui YouTube-tutkijoille hyvin nopeasti.
Miksi rajapinta luovutti tiedot vieraille?
Vika oli rakenteellinen, ei monimutkainen. Trump Mobilen kolmannen osapuolen alusta käytti peräkkäisesti numeroituja tilaustunnuksia. Kun käyttäjä lähetti rajapinnalle POST-pyynnön, palvelin palautti pyydetyn tilauksen tiedot ilman tarkistusta siitä, kenelle ne kuuluvat.
Iteroimalla tunnuksia tutkija pystyi keräämään noin 5 000 tietuetta tunnissa. Itseoppinut IT-ammattilainen, joka esiintyi nimimerkillä Louis, kuvasi mekanismia The Registerille suoraan.
– Se oli oikeasti hyvin yksinkertainen HTTP-pyyntö. POST, ja sitten vain pyysin haluamani tiedot, sanoo Louis The Registerille.
IDOR (Insecure Direct Object Reference)
Klassinen tietoturvavirhe: rajapinta palauttaa tietoja peräkkäisesti numeroitujen tunnisteiden perusteella ilman, että tarkistetaan, onko pyytäjällä oikeutta nähdä juuri sen asiakkaan tietoja. Numero +1, ja seuraavan asiakkaan tiedot tulevat ulos.
Miten vuoto paljastui?
YouTube-tekijät Coffeezilla ja penguinz0 nostivat ongelman esiin 20.5.2026 omissa videoissaan. Coffeezillan analyysissa rajapinnasta saadut tietueet kuvattiin lakonisesti.
– Vuotamassa oli postiosoitteet, sähköpostit, käytännössä kaikki paitsi luottokorttinumero, kertoo Coffeezilla videollaan.
Kahden päivän kuluttua Trump Mobile vahvisti löydökset. Chris Walker, Trump Mobilen tiedottaja, kertoi TechCrunchille vuodon liittyvän kolmannen osapuolen alustantarjoajaan, joka tukee yhtiön tiettyjä toimintoja. Kolmannen osapuolen alustantarjoajaa ei nimetty. Mobiili.fi nosti tapauksen suomenkielisille lukijoille 25. toukokuuta.
Sivutarinana videoijat huomasivat jotain muutakin. Coffeezillan arvion perusteella uniikkeja asiakkaita on noin 10 000 ja tilauksia 30 000, eli noin viisi prosenttia aiemmin uutisoiduista 590 000 ennakkotilauksesta.
Loput numeroista jäävät selittämättä, ja Trump Mobile ei ole julkisesti kommentoinut myyntilukuja vuodon jälkeen.
Suomalaiselle kuluttajalle: oletus on, että tiedot ovat jo vuotaneet
Trump Mobile toimii vain Yhdysvalloissa, joten suorassa riskissä on hyvin pieni joukko suomalaisia. Opetus on silti yleinen. Ennakkotilausdata on aina riski, koska se kerätään nopeasti pystyyn rakennetuilla alustoilla, joiden tietoturvaa ei aina ehditä tarkistaa ennen launchia.
Mitä tästä pitäisi oppia? Ennakkotilauksen yhteydessä luovutetaan tyypillisesti juuri ne tiedot, joista tietojenkalastelijat rakentavat uskottavia tilausvahvistuksia ja lähetysilmoituksia. Postiosoite, sähköposti, puhelinnumero ja tilausnumero ovat täydellinen pohja kohdistetulle huijaukselle.
Brändi ei suojaa.
IDOR-virheet ovat ikäviä erityisesti siksi, että ne ovat helppoja löytää ja vaikeita huomata sivustoilla, joissa kukaan ei aktiivisesti testaa rajapintoja. OWASP on listannut tämän virheluokan haavoittuvuuksien kärkikymmenikköön jo vuosia.
Mitä tehdä
- Käytä ennakkotilauksissa kertakäyttöistä sähköpostia, esimerkiksi plus-aliasta tai Apple Hide My Email -palvelua.
- Älä luovuta päänumeroasi vaan harkitse erillistä numeroa tai eSIM-linjaa.
- Maksa luottokortilla tai PayPalilla, älä debit-kortilla. Luottokortin chargeback-oikeudet ovat selkeästi paremmat.
- Oleta, että ennakkotilauksessa annetut tiedot ovat jo vuotaneet, ja varaudu sähköposti- ja tekstiviestihuijauksiin tilausvahvistusten varjolla.
Trump Mobilen tapaus ei ollut nollapäivähaavoittuvuus eikä valtiollisen toimijan operaatio. Se oli yksi unohtunut pääsynvalvontatarkistus rajapinnassa, joka vietiin tuotantoon kiireellä. Tällaiset virheet jäävät pysyväksi osaksi internetiä, kun alaa ei ole opittu kunnolla.
Jää nähtäväksi, ilmoittaako Trump Mobile vuodosta viranomaisille osavaltioiden tietomurtolakien edellyttämällä tavalla ja saavatko 27 000 asiakasta kirjeen postiluukkuunsa. Suomessa vastaavasta vuodosta GDPR-sakot ja ilmoitusvelvollisuus Tietosuojavaltuutetulle olisivat seuranneet automaattisesti.