T-Mobile, een van de grootste telecommunicatiebedrijven in de VS, werd bijna twee weken geleden gehackt, waardoor de gevoelige informatie van meer dan 50 miljoen huidige, voormalige en potentiële klanten werd blootgelegd.
Namen, adressen, burgerservicenummers, rijbewijzen en identiteitsgegevens van ongeveer 48 miljoen mensen werden gebruikt in de hack, die aanvankelijk op 16 augustus aan het licht kwam.
Dit is alles wat we tot nu toe weten.
Wat is T-Mobile?
T-Mobile is een dochteronderneming van het Duitse telecommunicatiebedrijf Deutsche Telekom AG die draadloze spraak-, berichten- en datadiensten levert aan klanten in tientallen landen.
In de VS heeft het bedrijf meer dan 104 miljoen klanten en werd het het op een na grootste telecommunicatiebedrijf achter Verizon na de fusie van $ 26 miljard met Sprint in 2018.
Hoeveel mensen zijn getroffen door de hack?
T-Mobile heeft vorige week een verklaring vrijgegeven waarin wordt bevestigd dat de namen, geboortedata, burgerservicenummers, rijbewijzen, telefoonnummers en IMEI- en IMSI-informatie van ongeveer 7,8 miljoen klanten zijn gestolen tijdens de inbreuk.
Bij nog eens 40 miljoen voormalige of potentiële klanten werden hun namen, geboortedata, burgerservicenummers en rijbewijzen gelekt.
Meer dan 5 miljoen “huidige postpaid klantaccounts” hadden ook illegale toegang tot informatie zoals namen, adressen, geboortedatums, telefoonnummers, IMEI's en IMSI's.
T-Mobile zei dat de gegevens van nog eens 667.000 accounts van voormalige T-Mobile-klanten werden gestolen, naast een groep van 850.000 actieve prepaidklanten van T-Mobile, van wie de namen, telefoonnummers en pincodes van hun account werden onthuld.
Mogelijk zijn ook de namen van 52.000 mensen met een Metro by T-Mobile-account ingezien, aldus T-Mobile.
Wie heeft T-Mobile aangevallen?
Een 21-jarige Amerikaanse burger genaamd John Binns vertelde The Wall Street Journal en Alon Gal, mede-oprichter van cybercrime intelligence-bedrijf Hudson Rock, dat hij de hoofdschuldige is achter de aanval.
Zijn vader, die stierf toen hij twee was, was Amerikaan en zijn moeder is Turks. Hij en zijn moeder verhuisden terug naar Turkije toen Binns 18 was.
Hoe gebeurde de aanval?
Binns, geboren in de VS maar nu woonachtig in Izmir, Turkije, zei dat hij de aanval vanuit zijn huis uitvoerde. Via Telegram leverde Binns bewijs aan de Wall Street Journal waaruit bleek dat hij achter de T-Mobile-aanval zat en vertelde hij verslaggevers dat hij oorspronkelijk in juli toegang had gekregen tot het netwerk van T-Mobile via een onbeschermde router.
Volgens de Wall Street Journal was hij op zoek naar gaten in de verdediging van T-Mobile via zijn internetadressen en kreeg hij toegang tot een datacenter in de buurt van East Wenatchee, Washington, waar hij meer dan 100 van de servers van het bedrijf kon verkennen. Vanaf daar duurde het ongeveer een week om toegang te krijgen tot de servers die de persoonlijke gegevens van miljoenen bevatten. Op 4 augustus had hij miljoenen bestanden gestolen.
“Ik raakte in paniek omdat ik toegang had tot iets groots. Hun beveiliging is verschrikkelijk”, vertelde Binns aan de Wall Street Journal. “Ruis genereren was één doel.”
Binns sprak ook met Motherboard en Bleeping Computer om de dynamiek van de aanval uit te leggen.
Hij vertelde Bleeping Computer dat hij twee weken geleden toegang had gekregen tot de systemen van T-Mobile via “productie-, staging- en ontwikkelingsservers”. Hij hackte een Oracle-databaseserver met klantgegevens erin.
Om te bewijzen dat het echt was, deelde Binns een screenshot van zijn SSH-verbinding met een productieserver waarop Oracle draait met verslaggevers van Bleeping Computer. Ze probeerden T-Mobile niet los te betalen omdat ze al kopers online hadden, volgens hun interview met de nieuwszender.
In zijn interview met Motherboard zei hij dat hij de gegevens van T-Mobile-servers had gestolen en dat T-Mobile hem uiteindelijk van de gehackte servers wist te schoppen, maar niet voordat er al kopieën van de gegevens waren gemaakt.
Op een ondergronds forum werden Binns en anderen gevonden die een steekproef van de gegevens verkochten met 30 miljoen burgerservicenummers en rijbewijzen voor 6 Bitcoin, volgens Motherboard en Bleeping Computer.
Mike Sievert, CEO van T-Mobile, legde uit dat de hacker achter de aanval “hun kennis van technische systemen, samen met gespecialiseerde tools en mogelijkheden, heeft gebruikt om toegang te krijgen tot onze testomgevingen en vervolgens brute force-aanvallen en andere methoden heeft gebruikt om hun weg te vinden naar andere IT-servers met klantgegevens.”
“Kortom, de bedoeling van deze persoon was om in te breken en gegevens te stelen, en dat is gelukt”, zei Sievert.
Binns beweerde dat hij 106 GB aan gegevens had gestolen, maar het is onduidelijk of dat is waar.
Waarom deed Binns het?
De 21-jarige inwoner van Virginia vertelde de Wall Street Journal en andere media dat hij het doelwit was van Amerikaanse wetshandhavingsinstanties vanwege zijn vermeende betrokkenheid bij de samenzwering van het Satori-botnet.
Hij beweert dat Amerikaanse agentschappen hem in Duitsland en Turkije hebben ontvoerd en gemarteld. Binns heeft in november een rechtszaak aangespannen bij een districtsrechtbank tegen de FBI, de CIA en het ministerie van Justitie, waar hij zei dat hij werd onderzocht voor verschillende cybercriminaliteit en omdat hij naar verluidt deel uitmaakte van de militante groepering van de Islamitische Staat, een aanklacht die hij ontkent.
< p>“Ik heb geen reden om een nep-ontvoeringsverhaal te verzinnen en ik hoop dat iemand binnen de FBI daar informatie over lekt”, legde hij uit in zijn berichten aan de Wall Street Journal.
De rechtszaak bevat een verscheidenheid aan beweringen van Binns dat de CIA in zijn huizen heeft ingebroken en zijn computers heeft afgeluisterd als onderdeel van een groter onderzoek naar zijn vermeende cybercriminaliteit. Hij diende de aanklacht in bij een districtsrechtbank in Washington DC.
Voordat hij officieel werd geïdentificeerd, stuurde Binns Gal een bericht dat op Twitter werd gedeeld.
“De inbreuk werd gepleegd om wraak te nemen op de VS voor de ontvoering en marteling van John Erin Binns (CIA Raven-1) in Duitsland door de CIA en Turkse inlichtingenagenten in 2019. We deden het om de Amerikaanse infrastructuur te schaden ', aldus het bericht, volgens Gal.
Was Binns de enige die de aanval uitvoerde?
Hij wil niet bevestigen of de gegevens die hij heeft gestolen al zijn verkocht of dat iemand anders heeft betaald hem om T-Mobile te hacken in zijn interview met The Wall Street Journal.
Hoewel Binns niet expliciet zei dat hij samen met anderen aan de aanval werkte, gaf hij wel toe dat hij hulp nodig had bij het verkrijgen van inloggegevens voor databases in de systemen van T-Mobile.
Sommige nieuwsbronnen hebben gemeld dat Binns niet de enige persoon die de gestolen T-Mobile-gegevens verkoopt.
Wanneer ontdekte T-Mobile de aanval?
Het Wall Street Journal-verhaal merkte op dat T-Mobile aanvankelijk op de hoogte was gesteld van de inbreuk door een cyberbeveiligingsbedrijf genaamd Unit221B LLC, dat zei dat hun klantgegevens op het dark web werden verkocht.
T-Mobile vertelde ZDNet op 16 augustus dat het onderzoek deed naar de eerste beweringen dat klantgegevens werden verkocht op het dark web en gaf uiteindelijk een lange verklaring uit waarin werd uitgelegd dat hoewel de hack niet alle 100 miljoen hun klanten, had minstens de helft hun informatie bij de hack betrokken.
Is er wetshandhaving bij betrokken?
Mike Sievert, CEO van T-Mobile, zei op 27 augustus dat hij niet meer informatie kon geven over de technische details van de aanval omdat ze “actief samenwerken met de wetshandhaving bij een strafrechtelijk onderzoek”.
Het is onduidelijk welke instanties aan de zaak werken en T-Mobile heeft niet gereageerd op vragen hierover.
Wat doet T-Mobile aan de hack?
Sievert legt uit dat het bedrijf Mandiant heeft ingehuurd om een onderzoek naar het incident te doen.
“Vanaf vandaag hebben we zowat elke huidige T-Mobile-klant of primaire accounthouder op de hoogte gebracht van wie gegevens zoals naam en huidig adres, burgerservicenummer of overheidsidentificatienummer zijn gehackt”, zei hij in een verklaring
T-Mobile zal ook een banner plaatsen op de MyT-Mobile.com-accountaanmeldingspagina van anderen om hen te laten weten of ze niet zijn getroffen door de aanval.
Sievert gaf toe dat het bedrijf nog steeds bezig is met het informeren van voormalige en potentiële klanten, van wie miljoenen ook hun informatie hebben gestolen.
Naast het aanbieden van slechts twee jaar gratis identiteitsbeschermingsservices met McAfee's ID Theft Protection Service, zei T-Mobile dat het klanten aanraadt om zich aan te melden voor “T-Mobile's gratis scam-blocking-bescherming via Scam Shield.”
Het bedrijf zal ook “Account Takeover Protection” aanbieden aan postpaid-klanten, wat het volgens hen moeilijker zal maken voor klantaccounts om frauduleus over te dragen en te stelen. Ze drongen er bij klanten op aan om ook alle wachtwoorden en pincodes opnieuw in te stellen.
Sievert kondigde ook aan dat T-Mobile “langdurige partnerschappen” had gesloten met Mandiant en KPMG LLG om hun cyberbeveiliging te versterken en de telecommunicatiegigant de “vuurkracht” te geven die nodig is om hun vermogen om klanten te beschermen tegen cybercriminelen te verbeteren.
“Zoals ik eerder al zei, maakt Mandiant sinds het begin van het incident deel uit van ons forensisch onderzoek en we breiden onze relatie nu uit om gebruik te maken van de expertise die ze hebben opgedaan in de frontlinie van grootschalige datalekken en hun schaalbare beveiligingsoplossingen om veerkrachtiger te worden tegen toekomstige cyberbedreigingen”, voegt Sievert toe.
“Ze zullen ons ondersteunen bij het ontwikkelen van een strategisch plan voor de korte en langere termijn om de cyberbeveiligingsrisico's in onze onderneming te beperken en te stabiliseren. Tegelijkertijd werken we samen met adviesbureau KPMG, een erkende wereldleider op het gebied van cyberbeveiligingsadvies. Het cyberbeveiligingsteam van KPMG zal zijn diepgaande expertise en interdisciplinaire benadering om een grondige evaluatie uit te voeren van al het beveiligingsbeleid van T-Mobile en prestatiemetingen. Ze zullen zich richten op controles om hiaten en verbeterpunten te identificeren.”
Zowel Mandiant als KPMG zullen samenwerken om een plan te schetsen voor T-Mobile om de lacunes in de cyberbeveiliging in de toekomst aan te pakken.
Is dit eerder bij T-Mobile gebeurd?
Er is nog geen aanval van deze omvang bij T-Mobile geweest, maar het bedrijf is meerdere keren aangevallen.
Voor de aanval twee weken geleden had het bedrijf de afgelopen drie jaar vier datalekken aangekondigd. Het bedrijf maakte in januari een inbreuk bekend na incidenten in augustus 2018, november 2019 en maart 2020.
Uit het onderzoek naar het incident in januari bleek dat hackers toegang hadden tot ongeveer 200.000 klantgegevens, zoals telefoonnummers, het aantal lijnen geabonneerd op een account en, in sommige gevallen, oproepgerelateerde informatie, die T-Mobile zei te verzamelen als onderdeel van de normale werking van zijn draadloze service.
De eerdere inbreuken omvatten een incident in maart 2020 waarbij T-Mobile zei dat hackers toegang kregen tot de gegevens van zowel werknemers als klanten, inclusief e-mailaccounts van werknemers, een incident in november 2019 waarbij T-Mobile zei dat het ongeautoriseerde toegang tot de persoonlijke gegevens van zijn klanten, en een incident in augustus 2018 waarbij T-Mobile zei dat hackers toegang kregen tot de persoonlijke gegevens van 2 miljoen van zijn klanten.
Voordat het in 2020 fuseerde met T-Mobile, had Sprint ook maakte ook in 2019 twee beveiligingsinbreuken bekend, één in mei en een tweede in juli.
Wat gebeurt er nu?
Binns heeft niet gezegd of hij de gestolen gegevens heeft verkocht, maar hij vertelde Bleeping Computer dat er al meerdere potentiële kopers waren.
Beveiliging
Kaseya ransomware-aanval: wat u moet weten Surfshark VPN-beoordeling: het is goedkoop, maar is het ook goed? De beste browsers voor privacy Cyberbeveiliging 101: bescherm uw privacy De beste antivirussoftware en apps De beste VPN's voor zakelijk en thuisgebruik De beste beveiligingssleutels voor 2FA Hoe slachtoffers die het losgeld betalen meer aanvallen aanmoedigen (ZDNet YouTube)
Verwante onderwerpen :
Gegevensbeheer Beveiliging TV CXO-datacenters 