Η T-Mobile αποκάλυψε ότι ένας κακόβουλος φορέας είχε πρόσβαση στις προσωπικές πληροφορίες 37 εκατομμυρίων υφιστάμενων λογαριασμών πελατών καρτοκινητής και καρτοκινητής μέσω ενός από τα Application Programming Interfaces (APIs). Αυτό αποτελεί μία από τις μεγαλύτερες παραβιάσεις δεδομένων.
Δείτε επίσης: Νέα επίθεση “Blank Image” κρύβει phishing scripts σε αρχεία SVG
Ένα API είναι ένα ισχυρό εργαλείο που μπορούν να χρησιμοποιήσουν οι εφαρμογές και οι υπολογιστές για να επικοινωνούν απρόσκοπτα μεταξύ τους. Είναι η γέφυρα μεταξύ των τεχνολογιών, που επιτρέπει την απλή αλλά αποτελεσματική επικοινωνία.
Για να επιτρέψουν με ασφάλεια σε εξωτερικούς συνεργάτες να έχουν πρόσβαση σε εσωτερικά δεδομένα, πολλές διαδικτυακές υπηρεσίες έχουν καταφύγει στη χρήση των APIs και των tokens ελέγχου ταυτότητας. Αυτό εξασφαλίζει ότι μόνο εγκεκριμένες εφαρμογές μπορούν να αποκτήσουν πρόσβαση στις πληροφορίες που είναι αποθηκευμένες στους διακομιστές τους.
Η T-Mobile δεν αποκάλυψε τις λεπτομέρειες του τρόπου με τον οποίο παραβιάστηκε το API της, ωστόσο οι απειλητικοί φορείς συνήθως ανακαλύπτουν κενά ασφαλείας που τους επιτρέπουν να ανακτούν πληροφορίες χωρίς να χρειάζονται έλεγχο ταυτότητας.
Νέα παραβίαση δεδομένων επηρεάζει 37 εκατομμύρια λογαριασμούς
Την Πέμπτη, η T-Mobile αποκάλυψε ότι το σχετικό API είχε παραβιαστεί στα τέλη Νοεμβρίου 2022. Η εταιρεία κινητής τηλεφωνίας εντόπισε την κακόβουλη δραστηριότητα στις 5 Ιανουαρίου 2023 και διέκοψε την πρόσβαση του εισβολέα στο API μία ημέρα αργότερα.
Η εταιρεία διαβεβαίωσε τους πελάτες ότι δεν διέρρευσαν ευαίσθητα δεδομένα, όπως αριθμοί αδειών οδήγησης, αριθμοί κοινωνικής ασφάλισης/αριθμοί φορολογικού μητρώου, κωδικοί πρόσβασης/αριθμοί PIN, πληροφορίες καρτών πληρωμών (PCI) ή άλλες πληροφορίες χρηματοοικονομικών λογαριασμών λόγω της παραβίασης του API.
Η T-Mobile διευκρίνισε ότι το επηρεαζόμενο API παρείχε μόνο μια περιορισμένη ποσότητα πληροφοριών λογαριασμού πελάτη, όπως όνομα, διεύθυνση χρέωσης, διεύθυνση ηλεκτρονικού ταχυδρομείου, αριθμό τηλεφώνου, ημερομηνία γέννησης και δεδομένα λογαριασμού T-Mobile.
Σε επίσημο δελτίο τύπου, η εταιρεία δήλωσε ότι “βασικές πληροφορίες πελατών” διέρρευσαν κατά την παραβίαση της ασφάλειας.
Δείτε επίσης: PayPal: Παραβιάστηκαν account μέσω επίθεσης credential stuffing
Με την αναφορά του περιστατικού σε ομοσπονδιακές υπηρεσίες, η T-Mobile συνεργάζεται τώρα με τις αρχές επιβολής του νόμου για τη διερεύνηση και την επίλυση της παραβίασης.
Επιπλέον, ο φορέας ενημερώνει τώρα τους πελάτες των οποίων οι εμπιστευτικές πληροφορίες έχουν ενδεχομένως τεθεί σε κίνδυνο.
Καθώς η έρευνά βρίσκεται ακόμη σε εξέλιξη, φαίνεται ότι η κακόβουλη δραστηριότητα έχει απομονωθεί πλήρως και δεν υπάρχουν ενδείξεις παραβίασης ή αλλοίωσης των συστημάτων. Από όσο γνωρίζει η T-Mobile αυτή τη στιγμή, όλα φαίνεται να είναι ασφαλή σε αυτό το σημείο.
Δείτε επίσης: Συνελήφθη ο ιδρυτής του Bitzlato για ξέπλυμα χρημάτων
Όγδοη παραβίαση δεδομένων της T-Mobile από το 2018
Ήταν μια ταραχώδης χρονιά για την T-Mobile, καθώς αυτή είναι η πρώτη αποκαλυπτόμενη παραβίαση δεδομένων του 2023, αλλά δυστυχώς όχι η πρώτη από το 2018. Για την ακρίβεια, σε αυτό το χρονικό διάστημα έχουν σημειωθεί άλλες επτά παραβιάσεις, με μία από αυτές να είναι ιδιαίτερα σοβαρή: οι επιτιθέμενοι απέκτησαν πρόσβαση στο 3% των προσωπικών πληροφοριών όλων των πελατών!
Το 2019, εκτέθηκαν τα δεδομένα των πελατών της T-Mobile. Άγνωστοι παράγοντες απειλών είχαν επίσης πρόσβαση στους λογαριασμούς email των εργαζομένων της T-Mobile τον Μάρτιο του 2020.
Τον Δεκέμβριο του 2020, κακόβουλοι φορείς απέκτησαν πρόσβαση σε εμπιστευτικές πληροφορίες πελατών, όπως αριθμούς τηλεφώνου και αρχεία κλήσεων. Στη συνέχεια, τον Φεβρουάριο του 2021, οι εν λόγω εισβολείς παραβίασαν μια εσωτερική εφαρμογή της T-Mobile.
Μήνες αργότερα, τον Αύγουστο του 2021, οι χάκερς εκμεταλλεύτηκαν το ελαττωματικό σύστημα της T-Mobile και διέρρηξαν τα περιβάλλοντα δοκιμών της.
Ακόμα και μετά την καταβολή 270.000 δολαρίων μέσω τρίτης εταιρείας για να σταματήσει η παραβίαση του Αυγούστου 2021, η εταιρεία δεν μπόρεσε να αποτρέψει την έκθεση των κλεμμένων δεδομένων στο διαδίκτυο.
Τέλος, τον Απρίλιο του 2022 η επιχείρηση δήλωσε επίσημα ότι στο δίκτυό της είχε διεισδύσει η Lapsus$, μια διαβόητη ομάδα hacking που φημίζεται για τους εκβιασμούς της στον κυβερνοχώρο. Είχαν πρόσβαση στα δεδομένα της εταιρείας μέσω κλεμμένων credential.
Πηγή πληροφοριών: bleepingcomputer.com
