T-Mobile, et av de største teleselskapene i USA, ble hacket for nesten to uker siden og avslørte sensitiv informasjon fra mer enn 50 millioner nåværende, tidligere og potensielle kunder.
Navn, adresser, personnummer, førerkort og ID -informasjon for om lag 48 millioner mennesker ble åpnet i hackingen, som først ble avslørt 16. august.
Her er alt vi vet så langt.
Hva er T-Mobile?
T-Mobile er et datterselskap av det tyske teleselskapet Deutsche Telekom AG som tilbyr trådløse tale-, meldings- og datatjenester til kunder i dusinvis av land.
I USA har selskapet mer enn 104 millioner kunder og ble det nest største teleselskapet bak Verizon etter fusjonen på 26 milliarder dollar med Sprint i 2018.
Hvor mange mennesker er berørt av hackingen?
T-Mobile ga ut en uttalelse i forrige uke som bekrefter at navn, fødselsdato, personnummer, førerkort, telefonnumre, samt IMEI- og IMSI-informasjon for om lag 7,8 millioner kunder var stjålet i bruddet.
Ytterligere 40 millioner tidligere eller potensielle kunder fikk navn, fødselsdato, personnummer og førerkort lekket.
Mer enn 5 millioner “nåværende etterbetalte kundekontoer” hadde også informasjon som navn, adresser, fødselsdato, telefonnumre, IMEI og IMSI ulovlig tilgang.
T-Mobile sa at ytterligere 667 000 kontoer for tidligere T-Mobile-kunder ble stjålet informasjonen sin sammen med en gruppe på 850 000 aktive forhåndsbetalte T-Mobile-kunder, hvis navn, telefonnumre og konto-PIN-koder ble avslørt.
Navnene på 52 000 mennesker med Metro by T-Mobile-kontoer kan også ha blitt åpnet, ifølge T-Mobile.
Hvem angrep T-Mobile?
En 21 år gammel amerikansk statsborger ved navn John Binns fortalte The Wall Street Journal og Alon Gal, medstifter av cybercrime intelligence company Hudson Rock, at han er den viktigste synderen bak angrepet.
Faren hans, som døde da han var to, var amerikaner og moren hans er tyrkisk. Han og moren flyttet tilbake til Tyrkia da Binns var 18.
Hvordan skjedde angrepet?
Binns, som ble født i USA, men nå bor i Izmir, Tyrkia, sa at han utførte angrepet fra hjemmet sitt. Gjennom Telegram leverte Binns bevis til Wall Street Journal som beviste at han sto bak T-Mobile-angrepet og fortalte journalister at han opprinnelig fikk tilgang til T-Mobile sitt nettverk gjennom en ubeskyttet ruter i juli.
I følge Wall Street Journal hadde han søkt etter hull i T-Mobile's forsvar gjennom internettadressene og fått tilgang til et datasenter i nærheten av East Wenatchee, Washington, hvor han kunne utforske mer enn 100 av selskapets servere. Derfra tok det omtrent en uke å få tilgang til serverne som inneholdt personlige data for millioner. 4. august hadde han stjålet millioner av filer.
“Jeg fikk panikk fordi jeg hadde tilgang til noe stort. Sikkerheten deres er forferdelig,” sa Binns til Wall Street Journal. “Å generere støy var ett mål.”
Binns snakket også med hovedkort og Bleeping Computer for å forklare noen dynamikk i angrepet.
Han fortalte Bleeping Computer at han fikk tilgang til T-Mobile sine systemer gjennom “produksjon, iscenesettelse og utvikling av servere for to uker siden.” Han hacket seg inn på en Oracle -databaseserver som hadde kundedata inne.
For å bevise at det var sant, delte Binns et skjermbilde av sin SSH -tilkobling til en produksjonsserver som kjører Oracle med journalister fra Bleeping Computer. De prøvde ikke å løse løs på T-Mobile fordi de allerede hadde kjøpere på nettet, ifølge intervjuet deres med nyhetsmagasinet.
I intervjuet med hovedkortet sa han at han hadde stjålet dataene fra T-Mobile-servere, og at T-Mobile til slutt klarte å sparke ham ut av de bruddte serverne, men ikke før kopier av dataene allerede var laget.
På et underjordisk forum ble Binns og andre funnet å selge et utvalg av dataene med 30 millioner personnummer og førerkort for 6 Bitcoin, ifølge hovedkort og Bleeping Computer.
T-Mobile-sjef Mike Sievert forklarte at hackeren bak angrepet “utnyttet sin kunnskap om tekniske systemer, sammen med spesialiserte verktøy og evner, for å få tilgang til testmiljøene våre og brukte deretter brute force-angrep og andre metoder for å komme seg inn i andre IT -servere som inkluderte kundedata. ”
“Kort sagt, denne persons intensjon var å bryte inn og stjele data, og de lyktes,” sa Sievert.
Binns hevdet at han stjal 106 GB data, men det er uklart om det er sant.
Hvorfor gjorde Binns det?
Den 21 år gamle Virginia-innfødte fortalte Wall Street Journal og andre utsalgssteder at han har blitt målrettet av amerikanske rettshåndhevelsesbyråer for hans påståtte engasjement i Satori botnet-konspirasjonen.
Han hevder amerikanske byråer bortførte ham i Tyskland og Tyrkia og torturerte ham. Binns anla søksmål i en tingrett mot FBI, CIA og justisdepartementet i november, der han sa at han ble etterforsket for ulike cyberkriminalitet og for angivelig å være en del av den islamske statens militante gruppe, en siktelse han nekter.
< p> “Jeg har ingen grunn til å finne på en falsk kidnappingshistorie, og jeg håper at noen i FBI lekker informasjon om det,” forklarte han i meldingene sine til Wall Street Journal.
Søksmålet inkluderer en rekke påstander fra Binns om at CIA brøt seg inn i hjemmene hans og avlyttet datamaskinene hans som en del av en større etterforskning av hans påståtte nettkriminalitet. Han anla saken i en Washington DC tingrett.
Før han ble offisielt identifisert, sendte Binns Gal en melding som ble delt på Twitter.
“Bruddet ble gjort for å gjengjelde USA for kidnapping og tortur av John Erin Binns (CIA Raven-1) i Tyskland av CIA og tyrkiske etterretningsagenter i 2019. Vi gjorde det for å skade amerikansk infrastruktur , “sa meldingen ifølge Gal.
Var Binns alene om å gjennomføre angrepet?
Han ville ikke bekrefte om dataene han stjal allerede er solgt, eller hvis noen andre betalte ham til å hacke seg inn på T-Mobile i intervjuet hans med The Wall Street Journal.
Selv om Binns ikke eksplisitt sa at han jobbet med andre på angrepet, innrømmet han at han trengte hjelp til å skaffe seg påloggingsinformasjon for databaser inne i T-Mobiles systemer.
Noen nyhetssteder har rapportert at Binns ikke var eneste personen som selger de stjålne T-Mobile-dataene.
Når oppdaget T-Mobile angrepet?
Wall Street Journal-historien bemerket at T-Mobile opprinnelig ble varslet om bruddet av et cybersikkerhetsselskap kalt Unit221B LLC, som sa at kundedataene deres ble markedsført på det mørke nettet.
T-Mobile fortalte ZDNet 16. august at den undersøkte de første påstandene om at kundedata ble solgt på det mørke nettet og ga til slutt ut en lang uttalelse som forklarte at mens hackingen ikke involverte alle 100 millioner av kundene deres, hadde minst halvparten informasjonen involvert i hackingen.
Er lovhåndhevelse involvert?
T-Mobile-sjef Mike Sievert sa 27. august at han ikke kunne dele mer informasjon om de tekniske detaljene i angrepet fordi de “aktivt koordinerer med politimyndigheter om kriminell etterforskning.”
Det er uklart hvilke etater som jobber med saken, og T-Mobile svarte ikke på spørsmål om dette.
Hva gjør T-Mobile med hackingen?
Sievert forklarte at selskapet hyret Mandiant til å utføre en undersøkelse av hendelsen.
“Per i dag har vi varslet omtrent alle nåværende T-Mobile-kunder eller primære kontoinnehavere som hadde data som navn og nåværende adresse, personnummer eller statlig ID-nummer kompromittert,” sa han i en uttalelse
T-Mobile legger også et banner på påloggingssiden til MyT-Mobile.com-kontoen til andre som gir beskjed hvis de ikke ble påvirket av angrepet.
Sievert innrømmet at selskapet fremdeles er i ferd med å varsle tidligere og potensielle kunder, hvorav millioner av dem også ble stjålet informasjonen sin.
I tillegg til å tilby bare to års gratis identitetstjenester med McAfees ID Theft Protection Service, sa T-Mobile at det anbefalte kunder å melde seg på “T-Mobile's gratis svindelblokkeringsbeskyttelse gjennom Scam Shield.”
Selskapet vil også tilby “kontoovertakelsesbeskyttelse” til etterbetalte kunder, som de sa vil gjøre det vanskeligere for kundekontoer å bli svindlet portet ut og stjålet. De oppfordret kundene til å tilbakestille alle passord og PIN -nummer også.
Sievert kunngjorde også at T-Mobile hadde signert “langsiktige partnerskap” med Mandiant og KPMG LLG for å øke cybersikkerheten og gi telekommunikasjonsgiganten den “ildkraften” som trengs for å forbedre deres evne til å beskytte kunder mot nettkriminelle.
“Som jeg tidligere har nevnt, har Mandiant vært en del av vår rettsmedisinske etterforskning siden hendelsen startet, og vi utvider nå vårt forhold til å dra nytte av ekspertisen de har fått fra frontlinjene for storstilt databrudd og bruke deres skalerbare sikkerhetsløsninger for å bli mer motstandsdyktige mot fremtidige cyber -trusler, “la Sievert til.
“De vil støtte oss når vi utvikler en umiddelbar og langsiktig strategisk plan for å dempe og stabilisere cybersikkerhetsrisiko på tvers av virksomheten vår. Samtidig samarbeider vi med konsulentfirmaet KPMG, en anerkjent global leder innen cybersikkerhetskonsultering. KPMGs cybersikkerhetsteam vil bringe sine dyp kompetanse og tverrfaglig tilnærming for å utføre en grundig gjennomgang av alle T-Mobile sikkerhetspolicyer og ytelsesmåling. De vil fokusere på kontroller for å identifisere hull og forbedringsområder. ”
Både Mandiant og KPMG vil sammen arbeide for å skissere en plan for T-Mobile for å løse hullene i cybersikkerhet i fremtiden.
Har dette skjedd med T-Mobile før?
Ingen angrep av denne størrelsen har rammet T-Mobile før, men selskapet har blitt angrepet flere ganger.
Før angrepet for to uker siden hadde selskapet kunngjort fire databrudd de siste tre årene. Selskapet avslørte et brudd i januar etter hendelser i august 2018, november 2019 og mars 2020.
Undersøkelsen av hendelsen i januar fant at hackere fikk tilgang til rundt 200 000 kundedetaljer som telefonnumre, antall linjer abonnerte på en konto, og i noen tilfeller samtale-relatert informasjon, som T-Mobile sa at den samlet inn som en del av den normale driften av den trådløse tjenesten.
De tidligere bruddene inkluderte en hendelse i mars 2020 der T-Mobile sa at hackere fikk tilgang til både ansattes og kunders data, inkludert ansattes e-postkontoer, en hendelse fra november 2019 der T-Mobile sa at den “oppdaget og stengte” uautorisert tilgang til personopplysningene til kundene sine, og en hendelse i august 2018 der T-Mobile sa at hackere fikk tilgang til personopplysningene til 2 millioner av kundene sine.
Før den fusjonerte med T-Mobile i 2020, sprint også avslørte to sikkerhetsbrudd i 2019 også, ett i mai og et annet i juli.
Hva skjer nå?
Binns har ikke sagt om han har solgt dataene han stjal, men han sa til Bleeping Computer at det allerede var flere potensielle kjøpere.
Sikkerhet
Kaseya ransomware -angrep: Det du trenger å vite Surfshark VPN -anmeldelse: Det er billig, men er det bra? De beste nettleserne for personvern Cyber security 101: Beskytt personvernet ditt Den beste antivirusprogramvaren og appene De beste VPN -ene for forretninger og hjemmebruk De beste sikkerhetsnøklene for 2FA Hvordan ofre som betaler løsepenger oppfordrer til flere angrep (ZDNet YouTube)
Relaterte emner :
Datahåndteringssikkerhet TV CXO datasentre 