Af Jonathan Greig | 28. august 2021 – 12:30 GMT (13:30 BST) | Emne: Sikkerhed
T-Mobile, et af de største teleselskaber i USA, blev hacket for næsten to uger siden og afslørede følsomme oplysninger fra mere end 50 millioner nuværende, tidligere og potentielle kunder.
Navne, adresser, personnumre, kørekort og ID -oplysninger til omkring 48 millioner mennesker blev tilgået i hacket, der oprindeligt kom frem den 16. august.
Her er alt, hvad vi ved indtil videre.
Hvad er T-Mobile?
T-Mobile er et datterselskab af det tyske teleselskab Deutsche Telekom AG, der leverer trådløse tale-, meddelelses- og datatjenester til kunder i snesevis af lande.
I USA har virksomheden mere end 104 millioner kunder og blev det næststørste teleselskab bag Verizon efter sin fusion på 26 milliarder dollar med Sprint i 2018.
Hvor mange mennesker er påvirket af hacket?
T-Mobile offentliggjorde i sidste uge en erklæring, der bekræftede, at navne, fødselsdatoer, cpr-numre, kørekort, telefonnumre samt IMEI- og IMSI-oplysninger til omkring 7,8 millioner kunder var blevet stjålet i bruddet.
Yderligere 40 millioner tidligere eller potentielle kunder fik deres navne, fødselsdatoer, cpr -numre og kørekort lækket.
Mere end 5 millioner “nuværende efterbetalte kundekonti” havde også oplysninger som navne, adresser, fødselsdato, telefonnumre, IMEI'er og IMSI'er ulovligt adgang.
T-Mobile sagde, at yderligere 667.000 konti for tidligere T-Mobile-kunder havde deres oplysninger stjålet sammen med en gruppe på 850.000 aktive T-Mobile forudbetalte kunder, hvis navne, telefonnumre og konto-pinkoder blev afsløret.
Navnene på 52.000 mennesker med Metro by T-Mobile-konti kan også have været tilgængelige ifølge T-Mobile.
Hvem angreb T-Mobile?
En 21-årig amerikansk borger ved navn John Binns fortalte The Wall Street Journal og Alon Gal, medstifter af cyberkriminalitets efterretningsselskab Hudson Rock, at han er den største synder bag angrebet.
Hans far, der døde, da han var to, var amerikaner, og hans mor er tyrkisk. Han og hans mor flyttede tilbage til Tyrkiet, da Binns var 18.
Hvordan skete angrebet?
Binns, der blev født i USA, men nu bor i Izmir, Tyrkiet, sagde, at han udførte angrebet fra sit hjem. Gennem Telegram leverede Binns bevis til Wall Street Journal, der beviser, at han stod bag T-Mobile-angrebet og fortalte journalister, at han oprindeligt fik adgang til T-Mobile's netværk via en ubeskyttet router i juli.
Ifølge Wall Street Journal havde han søgt efter huller i T-Mobile's forsvar gennem dets internetadresser og fået adgang til et datacenter nær East Wenatchee, Washington, hvor han kunne udforske mere end 100 af virksomhedens servere. Derfra tog det cirka en uge at få adgang til de servere, der indeholdt personoplysninger om millioner. Den 4. august havde han stjålet millioner af filer.
“Jeg var i panik, fordi jeg havde adgang til noget stort. Deres sikkerhed er forfærdelig,” sagde Binns til Wall Street Journal. “At generere støj var et mål.”
Binns talte også med bundkort og Bleeping Computer for at forklare nogle dynamikker i angrebet.
Han fortalte Bleeping Computer, at han fik adgang til T-Mobile's systemer gennem “produktion, iscenesættelse og udviklingsservere for to uger siden.” Han hackede sig ind på en Oracle -databaseserver, der havde kundedata inde.
For at bevise, at det var ægte, delte Binns et skærmbillede af sin SSH -forbindelse til en produktionsserver, der kører Oracle, med journalister fra Bleeping Computer. De forsøgte ikke at løsepenge T-Mobile, fordi de allerede havde købere online, ifølge deres interview med nyhedsmediet.
I sit interview med bundkort sagde han, at han havde stjålet dataene fra T-Mobile-servere, og at T-Mobile i sidste ende formåede at sparke ham ud af de brudte servere, men ikke før der allerede var blevet kopieret af dataene.
På et underjordisk forum blev Binns og andre fundet, der solgte en stikprøve af dataene med 30 millioner cpr -numre og kørekort til 6 Bitcoin ifølge Motherboard og Bleeping Computer.
T-Mobile CEO Mike Sievert forklarede, at hackeren bag angrebet “udnyttede deres viden om tekniske systemer sammen med specialiserede værktøjer og kapaciteter til at få adgang til vores testmiljøer og derefter brugte brutale magtangreb og andre metoder til at finde vej til andre IT -servere, der inkluderede kundedata. ”
“Kort sagt var denne persons hensigt at bryde ind og stjæle data, og det lykkedes,” sagde Sievert.
Binns hævdede, at han stjal 106 GB data, men det er uklart, om det er sandt.
Hvorfor gjorde Binns det?
Den 21-årige indfødte i Virginia fortalte Wall Street Journal og andre forretninger, at han er blevet målrettet af amerikanske retshåndhævende myndigheder for hans påståede engagement i Satori-botnet-sammensværgelsen.
Han hævder, at amerikanske agenturer bortførte ham i Tyskland og Tyrkiet og torturerede ham. Binns anlagde sag i en distriktsdomstol mod FBI, CIA og justitsministeriet i november, hvor han sagde, at han blev efterforsket for forskellige cyberkriminaliteter og for angiveligt at være en del af den militante gruppe Islamisk Stat, en anklagelse, han nægter.
< p> “Jeg har ingen grund til at finde på en falsk kidnapningshistorie, og jeg håber, at nogen inden for FBI lækker oplysninger om det,” forklarede han i sine meddelelser til Wall Street Journal.
Retssagen indeholder en række påstande fra Binns om, at CIA brød ind i hans hjem og aflyttede sine computere som en del af en større undersøgelse af hans påståede cyberkriminalitet. Han anlagde sag ved en Washington DC District Court.
Inden han officielt blev identificeret, sendte Binns Gal en besked, der blev delt på Twitter.
“Overtrædelsen blev foretaget for at tage gengældelse mod USA for kidnapning og tortur af John Erin Binns (CIA Raven-1) i Tyskland af CIA og tyrkiske efterretningsagenter i 2019. Vi gjorde det for at skade amerikansk infrastruktur , “lød meddelelsen ifølge Gal.
Var Binns alene om at udføre angrebet?
Han ville ikke bekræfte, om de data, han stjal, allerede er blevet solgt, eller hvis en anden har betalt ham til at hacke sig ind på T-Mobile i sit interview med The Wall Street Journal.
Selvom Binns ikke eksplicit sagde, at han arbejdede sammen med andre om angrebet, indrømmede han, at han havde brug for hjælp til at erhverve loginoplysninger til databaser inde i T-Mobile's systemer.
Nogle nyhedsmedier har rapporteret, at Binns ikke var eneste person, der sælger de stjålne T-Mobile-data.
Hvornår opdagede T-Mobile angrebet?
Wall Street Journal-historien bemærkede, at T-Mobile oprindeligt blev underrettet om bruddet af et cybersikkerhedsfirma ved navn Unit221B LLC, som sagde, at deres kundedata blev markedsført på det mørke web.
T-Mobile fortalte ZDNet den 16. august, at den undersøgte de første påstande om, at kundedata blev solgt på det mørke web og til sidst frigav en lang erklæring, der forklarede, at mens hacket ikke involverede alle 100 millioner af deres kunder, havde mindst halvdelen deres oplysninger involveret i hacket.
Er lovhåndhævelse involveret?
T-Mobile CEO Mike Sievert sagde den 27. august, at han ikke kunne dele flere oplysninger om de tekniske detaljer ved angrebet, fordi de “aktivt koordinerer med retshåndhævelse om en kriminel efterforskning.”
Det er uklart, hvilke instanser der arbejder med sagen, og T-Mobile svarede ikke på spørgsmål herom.
Hvad gør T-Mobile ved hacket?
Sievert forklarede, at virksomheden hyrede Mandiant til at foretage en undersøgelse af hændelsen.
“Fra i dag har vi meddelt stort set alle nuværende T-Mobile-kunder eller primære kontohavere, der havde data som navn og nuværende adresse, personnummer eller regerings-id-nummer kompromitteret,” sagde han i en erklæring
T-Mobile vil også lægge et banner på MyT-Mobile.com-kontoens login-side for andre, der giver dem besked, hvis de ikke blev påvirket af angrebet.
Sievert indrømmede, at virksomheden stadig er i gang med at underrette tidligere og potentielle kunder, hvoraf millioner også fik stjålet deres oplysninger.
Ud over at tilbyde kun to års gratis identitetsbeskyttelsestjenester med McAfees ID Theft Protection Service, sagde T-Mobile, at det anbefalede kunder at tilmelde sig “T-Mobile's gratis svindelblokeringsbeskyttelse via Scam Shield.”
Virksomheden vil også tilbyde “kontoovertagelsesbeskyttelse” til efterbetalte kunder, hvilket de sagde vil gøre det vanskeligere for kundekonti at blive svigagtigt portet ud og stjålet. De opfordrede kunderne til også at nulstille alle adgangskoder og PIN -numre.
Sievert meddelte også, at T-Mobile havde underskrevet “langsigtede partnerskaber” med Mandiant og KPMG LLG for at øge deres cybersikkerhed og give telegiganten den “ildkraft”, der er nødvendig for at forbedre deres evne til at beskytte kunder mod cyberkriminelle.
“Som jeg tidligere har nævnt, har Mandiant været en del af vores retsmedicinske efterforskning siden hændelsens start, og vi udvider nu vores forhold til at trække på den ekspertise, de har opnået fra frontlinjerne i storstilet databrud og bruge deres skalerbare sikkerhedsløsninger for at blive mere modstandsdygtige over for fremtidige cybertrusler, “tilføjede Sievert.
“De vil støtte os, når vi udvikler en øjeblikkelig og langsigtet strategisk plan for at afbøde og stabilisere cybersikkerhedsrisici på tværs af vores virksomhed. Samtidig samarbejder vi med konsulentfirmaet KPMG, en anerkendt global leder inden for cybersikkerhedsrådgivning. KPMGs cybersikkerhedsteam vil bringe sit dyb ekspertise og tværfaglig tilgang til at foretage en grundig gennemgang af alle T-Mobile sikkerhedspolitikker og præstationsmåling. De vil fokusere på kontroller for at identificere huller og forbedringsområder. ”
Både Mandiant og KPMG vil arbejde sammen om at skitsere en plan for T-Mobile til at løse sine cybersikkerhedsgab i fremtiden.
Er dette sket for T-Mobile før?
Intet angreb af denne størrelse har ramt T-Mobile før, men virksomheden er blevet angrebet flere gange.
Inden angrebet for to uger siden havde virksomheden bebudet fire databrud i løbet af de sidste tre år. Virksomheden afslørede et brud i januar efter hændelser i august 2018, november 2019 og marts 2020.
Undersøgelsen af hændelsen i januar viste, at hackere fik adgang til omkring 200.000 kundedetaljer såsom telefonnumre, antal linjer abonnerede på en konto og i nogle tilfælde opkaldsrelaterede oplysninger, som T-Mobile sagde, at den indsamlede som en del af den normale drift af sin trådløse tjeneste.
De tidligere overtrædelser omfattede en hændelse i marts 2020, hvor T-Mobile sagde, at hackere fik adgang til både sine medarbejderes og kunders data, herunder medarbejderes e-mail-konti, en hændelse fra november 2019, hvor T-Mobile sagde, at den “opdagede og lukkede” uautoriseret adgang til sine kunders personlige data og en hændelse i august 2018, hvor T-Mobile sagde, at hackere fik adgang til personoplysninger om 2 millioner af sine kunder.
Inden den fusionerede med T-Mobile i 2020, sprintede også Sprint afslørede også to sikkerhedsbrud i 2019, et i maj og et andet i juli.
Hvad sker der nu?
Binns har ikke sagt, om han har solgt de data, han stjal, men han fortalte Bleeping Computer, at der allerede var flere potentielle købere.
Sikkerhed
Kaseya ransomware -angreb: Hvad du har brug for at vide Surfshark VPN -anmeldelse: Det er billigt, men er det godt? De bedste browsere til beskyttelse af fortrolige oplysninger Cybersikkerhed 101: Beskyt dit privatliv Den bedste antivirussoftware og apps De bedste VPN'er til erhverv og hjemmebrug De bedste sikkerhedsnøgler til 2FA Hvordan ofre, der betaler løsesummen, tilskynder til flere angreb (ZDNet YouTube)
Relaterede emner :
Datahåndtering Sikkerhed TV CXO datacentre 