T-Mobile ujawnił nowe naruszenie danych po tym, jak aktor zagrożenia wykradł dane osobowe 37 milionów obecnych kont klientów postpaid i prepaid poprzez jeden z interfejsów programowania aplikacji (API).
Co to API?
API to interfejs oprogramowania lub mechanizm powszechnie używany przez aplikacje lub komputery do komunikowania się ze sobą. Wiele usług internetowych używa API, aby aplikacje internetowe lub zewnętrzni partnerzy mogli pobierać wewnętrzne dane, o ile przekażą odpowiednie tokeny uwierzytelniające. T-Mobile nie podzielił się tym, jak ich API zostało wykorzystane, natomiast nie jest to pierwszy przypadek, kiedy aktorzy zagrożeń znajdują luki w API pozwalające pobrać dane bez wcześniejszego uwierzytelnienia.
Nowe naruszenie danych 37 milionów kont
T-Mobile ujawnił, że napastnik zaczął kraść dane za pomocą zaatakowanego API około 25 listopada 2022 roku. Operator komórkowy wykrył złośliwą aktywność 5 stycznia 2023 roku i odciął napastnikowi dostęp do API dzień później.
Firma potwierdziła, że API nadużywane w tym naruszeniu bezpieczeństwa nie pozwoliło atakującemu uzyskać dostępu do praw jazdy dotkniętych klientów lub innych numerów identyfikacyjnych, numerów ubezpieczenia społecznego / identyfikatorów podatkowych, haseł, numerów PIN, informacji o kartach płatniczych (PCI) lub innych informacji o kontach finansowych.
“Dotknięte API jest w stanie zapewnić tylko ograniczony zestaw danych o koncie klienta, w tym imię i nazwisko, adres rozliczeniowy, e-mail, numer telefonu, datę urodzenia, numer konta T-Mobile i informacje takie jak liczba linii na koncie i funkcje planu”, przekazało T-Mobile.
“Wstępny wynik z naszego dochodzenia wskazuje, że aktor lub aktorzy zagrożenia uzyskali dane z tego API dla około 37 milionów obecnych kont klientów postpaid i prepaid, choć wiele z tych kont nie zawierało pełnego zestawu danych”.
Firma opisała dane skradzione w tym ataku jako “podstawowe informacje o klientach” w osobnym komunikacie prasowym.
Dalsze postępowanie
T-Mobile zgłosił incydent do amerykańskich agencji federalnych i obecnie współpracuje z organami ścigania w celu zbadania naruszenia.
Dostawca usług powiadamia teraz także klientów (stosunkowo szybko, za co należy pochwalić), którym w wyniku tego naruszenia mogły zostać skradzione wrażliwe dane osobowe.
“Nasze dochodzenie wciąż trwa, ale złośliwa aktywność wydaje się być w tym momencie w pełni opanowana i obecnie nie ma dowodów na to, że aktor zagrożenia był w stanie naruszyć lub narazić na szwank nasze systemy lub naszą sieć” – podkreślają przedstawiciele T-Mobile.
Ósme naruszenie danych T-Mobile od 2018 roku
Co prawda jest to pierwsze naruszenie ujawnione przez T-Mobile od początku roku, lecz operator komórkowy ujawnił od 2018 roku już siedem innych naruszeń danych, w tym jeden, w którym napastnicy uzyskali dostęp do danych około 3% wszystkich klientów T-Mobile.
• W 2019 roku T-Mobile ujawniono dane klientów prepaid.
• Nieznani aktorzy zagrożeń uzyskali również dostęp do kont e-mail pracowników T-Mobile w marcu 2020 roku.
• W grudniu 2020 r. nieznani aktorzy zagrożeń uzyskali również dostęp do zastrzeżonych informacji sieciowych klientów (numery telefonów, rejestry połączeń).
• W lutym 2021 r. napastnicy uzyskali dostęp do wewnętrznej aplikacji T-Mobile bez autoryzacji.
• Kilka miesięcy później, w sierpniu 2021 roku, hakerzy sforsowali sieć T-Mobile po naruszeniu środowisk testowych przewoźnika.
Po naruszeniu z sierpnia 2021 roku, operatorowi nie udało się powstrzymać skradzionych danych przed wyciekiem online, mimo że zapłacił napastnikom 270 000 dolarów okupu za pośrednictwem firmy zewnętrznej.
Wreszcie, w kwietniu 2022 roku firma potwierdziła również, że grupa hakerska Lapsus$ naruszyła jej sieć przy użyciu skradzionych danych uwierzytelniających.
Warto zapytać, jakie rozwiązania zostały wdrożone, aby zabezpieczyć firmę przed kolejnymi, podobnymi atakami, których niestety trzeba się spodziewać. Czy na takie zagrożenia można się lepiej przygotować? Skontaktuj się z nami, a pokażemy Ci, jak wiele możesz zrobić, aby uchronić się przed atakiem!
