T-Mobile, una delle più grandi società di telecomunicazioni negli Stati Uniti, è stata hackerata quasi due settimane fa, esponendo le informazioni sensibili di oltre 50 milioni di clienti attuali, passati e potenziali.
Nomi, indirizzi, numeri di previdenza sociale, patenti di guida e informazioni sull'identità di circa 48 milioni di persone sono stati utilizzati nell'hack, che inizialmente è venuto alla luce il 16 agosto.
Ecco tutto ciò che sappiamo finora.
Cos'è T-Mobile?
T-Mobile è una consociata della società di telecomunicazioni tedesca Deutsche Telekom AG che fornisce servizi wireless voce, messaggistica e dati a clienti in dozzine di paesi.
Negli Stati Uniti, l'azienda ha più di 104 milioni di clienti ed è diventata la seconda società di telecomunicazioni dopo Verizon dopo la fusione da 26 miliardi di dollari con Sprint nel 2018.
Quante persone sono state colpite dall'hack?
T-Mobile ha rilasciato una dichiarazione la scorsa settimana confermando che i nomi, le date di nascita, i numeri di previdenza sociale, le patenti di guida, i numeri di telefono, nonché le informazioni IMEI e IMSI per circa 7,8 milioni di clienti erano stati rubati durante la violazione.
Altri 40 milioni di ex o potenziali clienti hanno fatto trapelare i loro nomi, date di nascita, numeri di previdenza sociale e patenti di guida.
Più di 5 milioni di “conti clienti postpagati correnti” avevano anche informazioni come nomi, indirizzi, data di nascita, numeri di telefono, IMEI e IMSI accessibili illegalmente.
T-Mobile ha affermato che altri 667.000 account di ex clienti T-Mobile hanno subito il furto delle loro informazioni insieme a un gruppo di 850.000 clienti prepagati T-Mobile attivi, i cui nomi, numeri di telefono e PIN degli account sono stati esposti.
Secondo T-Mobile, potrebbero essere stati consultati anche i nomi di 52.000 persone con account Metro by T-Mobile.
Chi ha attaccato T-Mobile?
Un cittadino statunitense di 21 anni di nome John Binns ha dichiarato al Wall Street Journal e ad Alon Gal, co-fondatore della società di intelligence sui crimini informatici Hudson Rock, che è il principale colpevole dell'attacco.
Suo padre, morto quando lui aveva due anni, era americano e sua madre turca. Lui e sua madre sono tornati in Turchia quando Binns aveva 18 anni.
Come è avvenuto l'attacco?
Binns, che è nato negli Stati Uniti ma ora vive a Izmir, in Turchia, ha detto di aver condotto l'attacco da casa sua. Attraverso Telegram, Binns ha fornito prove al Wall Street Journal dimostrando di essere dietro l'attacco di T-Mobile e ha detto ai giornalisti di aver originariamente ottenuto l'accesso alla rete di T-Mobile attraverso un router non protetto a luglio.
Secondo il Wall Street Journal, era alla ricerca di falle nelle difese di T-Mobile attraverso i suoi indirizzi Internet e ha ottenuto l'accesso a un data center vicino a East Wenatchee, Washington, dove ha potuto esplorare più di 100 server dell'azienda. Da lì, ci è voluta circa una settimana per ottenere l'accesso ai server che contenevano i dati personali di milioni di persone. Il 4 agosto aveva rubato milioni di file.
“Ero nel panico perché avevo accesso a qualcosa di grande. La loro sicurezza è terribile”, ha detto Binns al Wall Street Journal. “Generare rumore era uno degli obiettivi.”
Binns ha anche parlato con Motherboard e Bleeping Computer per spiegare alcune dinamiche dell'attacco.
Ha detto a Bleeping Computer di aver ottenuto l'accesso ai sistemi di T-Mobile tramite “server di produzione, staging e sviluppo due settimane fa”. Ha hackerato un server di database Oracle che conteneva i dati dei clienti.
Per dimostrare che erano reali, Binns ha condiviso uno screenshot della sua connessione SSH a un server di produzione che esegue Oracle con i giornalisti di Bleeping Computer. Non hanno cercato di riscattare T-Mobile perché avevano già acquirenti online, secondo la loro intervista con l'agenzia di stampa.
Nella sua intervista con Motherboard, ha detto di aver rubato i dati dai server di T-Mobile e che T-Mobile è riuscito a cacciarlo dai server violati, ma non prima che fossero già state fatte copie dei dati.
Su un forum clandestino, Binns e altri sono stati trovati a vendere un campione di dati con 30 milioni di numeri di previdenza sociale e patenti di guida per 6 Bitcoin, secondo Motherboard e Bleeping Computer.
Il CEO di T-Mobile Mike Sievert ha spiegato che l'hacker dietro l'attacco “ha sfruttato la sua conoscenza dei sistemi tecnici, insieme a strumenti e capacità specializzati, per accedere ai nostri ambienti di test e quindi ha utilizzato attacchi di forza bruta e altri metodi per farsi strada in altri Server IT che includevano i dati dei clienti.”
“In breve, l'intento di questo individuo era quello di violare e rubare dati, e ci sono riusciti”, ha detto Sievert.
Binns ha affermato di aver rubato 106 GB di dati, ma non è chiaro se ciò è vero.
Perché Binns l'ha fatto?
Il ventunenne originario della Virginia ha dichiarato al Wall Street Journal e ad altri media di essere stato preso di mira dalle forze dell'ordine statunitensi per il suo presunto coinvolgimento nella cospirazione della botnet Satori.
Afferma che le agenzie statunitensi lo hanno rapito in Germania e in Turchia e lo hanno torturato. Binns ha intentato una causa in un tribunale distrettuale contro l'FBI, la CIA e il Dipartimento di Giustizia a novembre, dove ha affermato di essere indagato per vari crimini informatici e per presunta parte del gruppo militante dello Stato Islamico, un'accusa che nega.
< p>“Non ho motivo di inventare una falsa storia di rapimento e spero che qualcuno all'interno dell'FBI diffonda informazioni al riguardo”, ha spiegato nei suoi messaggi al Wall Street Journal.
La causa include una serie di affermazioni di Binns secondo cui la CIA ha fatto irruzione nelle sue case e ha intercettato i suoi computer come parte di un'indagine più ampia sui suoi presunti crimini informatici. Ha presentato la causa in un tribunale distrettuale di Washington DC.
Prima di essere identificato ufficialmente, Binns ha inviato a Gal un messaggio che è stato condiviso su Twitter.
“La violazione è stata fatta per rappresaglia contro gli Stati Uniti per il rapimento e la tortura di John Erin Binns (CIA Raven-1) in Germania da parte della CIA e degli agenti dell'intelligence turca nel 2019. Lo abbiamo fatto per danneggiare le infrastrutture statunitensi ,” ha detto il messaggio, secondo Gal.
Binns è stato il solo a condurre l'attacco?
Non ha confermato se i dati che ha rubato sono già stati venduti o se qualcun altro ha pagato lui per hackerare T-Mobile nella sua intervista con il Wall Street Journal.
Sebbene Binns non abbia esplicitamente affermato di aver collaborato con altri all'attacco, ha ammesso di aver bisogno di aiuto per acquisire le credenziali di accesso per i database all'interno dei sistemi di T-Mobile.
Alcune agenzie di stampa hanno riferito che Binns non era il unica persona che vende i dati T-Mobile rubati.
Quando T-Mobile ha scoperto l'attacco?
La storia del Wall Street Journal ha osservato che T-Mobile è stata inizialmente informata della violazione da una società di sicurezza informatica chiamata Unit221B LLC, che ha affermato che i dati dei suoi clienti venivano commercializzati sul dark web.
T-Mobile ha dichiarato a ZDNet il 16 agosto che stava indagando sulle affermazioni iniziali secondo cui i dati dei clienti venivano venduti sul dark web e alla fine ha rilasciato una lunga dichiarazione in cui spiegava che mentre l'hack non ha coinvolto tutti i 100 milioni di i loro clienti, almeno la metà aveva le loro informazioni coinvolte nell'hack.
Sono coinvolte le forze dell'ordine?
L'amministratore delegato di T-Mobile, Mike Sievert, ha dichiarato il 27 agosto di non poter condividere ulteriori informazioni sui dettagli tecnici dell'attacco perché “si stanno coordinando attivamente con le forze dell'ordine per un'indagine penale”.
Non è chiaro quali agenzie stiano lavorando sul caso e T-Mobile non ha risposto alle domande in merito.
Cosa sta facendo T-Mobile riguardo all'hack?
Sievert ha spiegato che la società ha assunto Mandiant per condurre un'indagine sull'incidente.
“A partire da oggi, abbiamo informato quasi tutti gli attuali clienti di T-Mobile o titolari di account principali che avevano dati come nome e indirizzo attuale, numero di previdenza sociale o numero di identificazione governativa compromessi”, ha affermato in una nota
T-Mobile metterà anche un banner sulla pagina di accesso dell'account MyT-Mobile.com di altri utenti per informarli se non sono stati colpiti dall'attacco.
Sievert ha ammesso che la società sta ancora informando i clienti precedenti e potenziali, a milioni dei quali sono state anche rubate le informazioni.
Oltre a offrire solo due anni di servizi gratuiti per la protezione dell'identità con il servizio di protezione contro il furto di identità di McAfee, T-Mobile ha affermato di consigliare ai clienti di iscriversi alla “protezione gratuita di T-Mobile contro le truffe tramite Scam Shield”.
La società offrirà anche “Account Takeover Protection” ai clienti con pagamento posticipato, che secondo loro renderà più difficile il trasferimento e il furto degli account dei clienti in modo fraudolento. Hanno esortato i clienti a reimpostare anche tutte le password e i numeri PIN.
Sievert ha anche annunciato che T-Mobile ha firmato “partnership a lungo termine” con Mandiant e KPMG LLG per rafforzare la propria sicurezza informatica e dare al gigante delle telecomunicazioni la “potenza di fuoco” necessaria per migliorare la propria capacità di proteggere i clienti dai criminali informatici.
“Come ho detto in precedenza, Mandiant ha fatto parte della nostra indagine forense dall'inizio dell'incidente e ora stiamo ampliando la nostra relazione per attingere all'esperienza acquisita in prima linea nelle violazioni dei dati su larga scala e utilizzare il loro soluzioni di sicurezza scalabili per diventare più resilienti alle future minacce informatiche”, ha aggiunto Sievert.
“Ci sosterranno mentre sviluppiamo un piano strategico immediato e a lungo termine per mitigare e stabilizzare i rischi di sicurezza informatica in tutta la nostra azienda. Allo stesso tempo, stiamo collaborando con la società di consulenza KPMG, leader globale riconosciuto nella consulenza sulla sicurezza informatica. Il team di sicurezza informatica di KPMG porterà il suo profonda competenza e approccio interdisciplinare per eseguire una revisione approfondita di tutte le politiche di sicurezza di T-Mobile e la misurazione delle prestazioni. Si concentreranno sui controlli per identificare le lacune e le aree di miglioramento.
Sia Mandiant che KPMG lavoreranno insieme per abbozzare un piano per T-Mobile per colmare le sue lacune di sicurezza informatica in futuro.
È già successo a T-Mobile?
Nessun attacco di queste dimensioni ha colpito T-Mobile prima, ma la società è stata attaccata più volte.
Prima dell'attacco di due settimane fa, la società aveva annunciato quattro violazioni dei dati negli ultimi tre anni. La società ha rivelato una violazione a gennaio dopo gli incidenti di agosto 2018, novembre 2019 e marzo 2020.
L'indagine sull'incidente di gennaio ha rilevato che gli hacker hanno avuto accesso a circa 200.000 dettagli dei clienti come numeri di telefono, numero di linee sottoscritto un account e, in alcuni casi, informazioni relative alla chiamata, che T-Mobile ha affermato di aver raccolto come parte del normale funzionamento del suo servizio wireless.
Le violazioni precedenti includevano un incidente di marzo 2020 in cui T-Mobile ha affermato che gli hacker hanno avuto accesso ai dati dei suoi dipendenti e dei clienti, inclusi gli account di posta elettronica dei dipendenti, un incidente di novembre 2019 in cui T-Mobile ha affermato di aver “scoperto e chiuso” l'accesso non autorizzato a i dati personali dei suoi clienti e un incidente dell'agosto 2018 in cui T-Mobile ha affermato che gli hacker hanno avuto accesso ai dettagli personali di 2 milioni di suoi clienti.
Prima di fondersi con T-Mobile nel 2020, anche Sprint ha rilevato due violazioni della sicurezza anche nel 2019, una a maggio e una a luglio.
Cosa succede ora?
Binns non ha detto se ha venduto i dati che ha rubato, ma ha detto a Bleeping Computer che c'erano già più potenziali acquirenti.
Sicurezza
Attacco ransomware Kaseya: cosa devi sapere Recensione di Surfshark VPN: è economico, ma è buono? I migliori browser per la privacy Sicurezza informatica 101: proteggi la tua privacy I migliori software e app antivirus Le migliori VPN per uso aziendale e domestico Le migliori chiavi di sicurezza per 2FA Come le vittime che pagano il riscatto incoraggiano più attacchi (ZDNet YouTube)
Argomenti correlati :
Data Management Security TV CXO Data Center 