T-Mobile ogłosił niedawno naruszenie danych, w wyniku którego haker uzyskał dane osobowe 37 milionów aktualnych kont klientów abonamentowych i przedpłaconych, wykorzystując jeden z interfejsów programowania aplikacji (API). Interfejsy API to interfejsy programowe, które umożliwiają aplikacjom i komputerom wzajemną komunikację.
Wiele internetowych usług internetowych korzysta z interfejsów API, aby umożliwić aplikacjom online lub zewnętrznym partnerom dostęp do danych wewnętrznych poprzez dostarczanie prawidłowych tokenów uwierzytelniających. T-Mobile nie określił, w jaki sposób doszło do naruszenia bezpieczeństwa ich API, ale hakerzy często wykorzystują luki w interfejsach API do pobierania danych bez odpowiedniego uwierzytelnienia.
Nowy wyciek danych T-Mobile dotyczy 37 milionów kont
W czwartek T-Mobile ujawnił, że wyciek danych rozpoczął się 25 listopada 2022 r., a atakujący uzyskiwał dostęp do interfejsu API, którego dotyczy problem. Firma wykryła nieautoryzowaną aktywność 5 stycznia 2023 roku i następnego dnia natychmiast odcięła atakującemu dostęp do API.
T-Mobile stwierdził również, że API, które było celem ataków, nie zapewniało atakującemu dostępu do poufnych informacji, takich jak prawa jazdy, rządowe numery identyfikacyjne, numery ubezpieczenia społecznego/identyfikatory podatkowe, hasła/kody PIN, informacje o kartach płatniczych lub inne informacje o rachunkach finansowych dotkniętych klientów.
„Zamiast tego interfejs API, którego dotyczy problem, jest w stanie dostarczyć tylko ograniczony zestaw danych konta klienta, w tym imię i nazwisko, adres rozliczeniowy, adres e-mail, numer telefonu, datę urodzenia, numer konta T-Mobile oraz informacje, takie jak liczba linii na koncie i planuj funkcje. Wstępne wyniki naszego dochodzenia wskazują, że przestępcy uzyskali dane z tego interfejsu API dla około 37 milionów obecnych kont klientów abonamentowych i przedpłaconych, chociaż wiele z tych kont nie zawierało pełnego zestawu danych” stwierdził T Mobile.
W osobne oświadczenie, T-Mobile zdefiniował dane skradzione w tym ataku jako „podstawowe informacje o kliencie”. Firma zgłosiła incydent odpowiednim agencjom federalnym w USA i współpracuje z organami ścigania w celu zbadania naruszenia. T-Mobile informuje również klientów, których dane osobowe mogły zostać naruszone w wyniku naruszenia.
„Rozumiemy, że taki incydent ma wpływ na naszych klientów i żałujemy, że tak się stało. Chociaż my, podobnie jak każda inna firma, niestety nie jesteśmy odporni na tego rodzaju działalność przestępczą, planujemy nadal dokonywać znacznych, wieloletnich inwestycji we wzmacnianie naszego programu cyberbezpieczeństwa. Nasze dochodzenie wciąż trwa, ale szkodliwa aktywność wydaje się być w tej chwili w pełni powstrzymana i obecnie nie ma dowodów na to, że sprawca był w stanie włamać się lub narazić na szwank nasze systemy lub naszą sieć” – stwierdził T-Mobile.
T-Mobile cierpi z powodu naruszeń danych od 2018 roku
To ósme naruszenie bezpieczeństwa danych ujawnione przez T-Mobile od 2018 r. Ostatni incydent jest pierwszym zgłoszonym w 2023 r., ale od 2018 r. firma miała siedem innych naruszeń, w tym jedno, w którym osoby atakujące uzyskały dostęp do danych około 3 proc. wszystkich klientów T-Mobile.
W 2019 roku T-Mobile ujawnił dane klientów usług przedpłaconych, a w 2020 roku nieznani cyberprzestępcy uzyskali dostęp do kont e-mail pracowników T-Mobile.
W grudniu 2020 r. nieznani cyberprzestępcy uzyskali również dostęp do zastrzeżonych informacji sieciowych klientów (numery telefonów, rejestry połączeń), aw lutym 2021 r. osoby atakujące uzyskały bez autoryzacji dostęp do wewnętrznej aplikacji T-Mobile.
W sierpniu 2021 roku hakerzy włamali się do sieci T-Mobile po naruszeniu bezpieczeństwa środowisk testowych operatora. Pomimo zapłacenia atakującym 270 000 USD za pośrednictwem firmy zewnętrznej, T-Mobile nie zapobiegł wyciekowi skradzionych danych do Internetu. Firma potwierdziła również w kwietniu 2022 r., że gang wymuszający Lapsus $ włamał się do jej sieci przy użyciu skradzionych danych uwierzytelniających.
Source: Naruszenie danych T-Mobile: dotyczyło 37 milionów kont
