T-Mobile ammette che 37.000.000 di record di clienti sono stati rubati da “cattivi attori” – Naked Security

Il provider di telefonia mobile statunitense T-Mobile ha appena ammesso di essere stato violato, in un deposito noto come 8-K che è stato presentato alla Securities and Exchange Commission (SEC) ieri, 2023-01-19.

Anche la forma 8-K è descritta dalla stessa SEC “il ‘resoconto corrente’ le aziende devono presentare […] per annunciare eventi importanti che gli azionisti dovrebbero conoscere.”

Questi eventi importanti includono problemi come bancarotta o amministrazione controllata (punto 1.03), violazioni della sicurezza nelle miniere (punto 1.04), modifiche al codice etico di un’organizzazione (punto 5.05) e una categoria onnicomprensiva, comunemente utilizzata per segnalare problemi legati all’IT , semplicemente soprannominato Altri Eventi (punto 8.01).

L’altro evento di T-Mobile è descritto come segue:

Il 5 gennaio 2023, T-Mobile USA […] identificato che un malintenzionato stava ottenendo dati tramite una singola interfaccia di programmazione dell’applicazione (“API”) senza autorizzazione. Abbiamo prontamente avviato un’indagine con esperti di sicurezza informatica esterni ed entro un giorno dall’aver appreso dell’attività dannosa, siamo stati in grado di rintracciare l’origine dell’attività dannosa e fermarla. La nostra indagine è ancora in corso, ma al momento l’attività dannosa sembra essere completamente contenuta.

In parole povere: i truffatori hanno trovato un modo per entrare dall’esterno, utilizzando semplici connessioni basate sul Web, che hanno permesso loro di recuperare informazioni private sui clienti senza bisogno di un nome utente o una password.

T-Mobile indica innanzitutto il tipo di dati che ritiene gli aggressori no get, che include i dettagli della carta di pagamento, i numeri di previdenza sociale (SSN), i codici fiscali, altri identificatori personali come patenti di guida o documenti d’identità rilasciati dal governo, password e PIN e informazioni finanziarie come i dettagli del conto bancario.

Questa è la buona notizia.

La cattiva notizia è che apparentemente i criminali sono entrati nel lontano 25-11-2022 (ironicamente, guarda caso, il Black Friday, il giorno dopo il Ringraziamento negli Stati Uniti) e non se ne sono andati a mani vuote.

Un sacco di tempo per il saccheggio

Gli aggressori, a quanto pare, hanno avuto abbastanza tempo per estrarre e rubare almeno alcuni dati personali per circa 37 milioni di utenti, inclusi i clienti prepagati (pay-as-you-go) e postpagati (fatturati in arretrato), tra cui nome, indirizzo di fatturazione, e-mail, numero di telefono, data di nascita, numero di account T-Mobile e informazioni come il numero di linee sull’account e le caratteristiche del piano.

Curiosamente, T-Mobile descrive ufficialmente questo stato di cose con le parole:

[T]Al momento non ci sono prove che il malintenzionato sia stato in grado di violare o compromettere i nostri sistemi o la nostra rete.

I clienti interessati (e forse le autorità di regolamentazione competenti) potrebbero non essere d’accordo sul fatto che 37 milioni di record di clienti rubati, in particolare compreso il luogo in cui vivi e la tua data di nascita…

…può essere accantonato come né una violazione né un compromesso.

T-Mobile, come ricorderete, ha pagato ben 500 milioni di dollari nel 2022 per risolvere una violazione subita nel 2021, sebbene i dati rubati in quell’incidente includessero informazioni come SSN e dettagli della patente di guida.

Questo tipo di dati personali in genere offre ai criminali informatici una maggiore possibilità di portare a termine gravi furti di identità, come contrarre prestiti a tuo nome o mascherarsi da te per firmare qualche altro tipo di contratto, piuttosto che se avessero “solo” i tuoi dati di contatto e il tuo data di nascita.



Cosa fare?

Non ha molto senso suggerire che i clienti di T-Mobile prestino maggiore attenzione del solito quando cercano di individuare e-mail non affidabili come truffe di phishing che sembrano “sapere” di essere utenti di T-Mobile.

Dopotutto, i truffatori non hanno bisogno di sapere con quale compagnia di telefonia mobile sei per indovinare che probabilmente utilizzi uno dei principali fornitori e per phishing comunque.

In poche parole, se ci sono nuove precauzioni anti-phishing che decidi di prendere in particolare a causa di questa violazione, siamo felici di saperlo…

… ma quelle precauzioni sono comportamenti che potresti adottare comunque.

Quindi, ripeteremo il nostro solito consiglio, che vale la pena seguire se sei un cliente T-Mobile o meno:

  • Non fare clic sui collegamenti “utili” nelle e-mail o in altri messaggi. Scopri in anticipo come navigare verso le pagine di accesso ufficiali di tutti i servizi online che utilizzi. (Sì, questo include i social network!) Se conosci già l’URL corretto da utilizzare, non devi mai fare affidamento su collegamenti che potrebbero essere stati forniti da un truffatore, sia in e-mail, messaggi di testo o chiamate vocali.
  • Pensa prima di fare clic. Non è sempre facile individuare i link truffa, anche perché anche i servizi legittimi utilizzano spesso dozzine di nomi di siti web diversi. Ma almeno alcune, se non molte, truffe includono il tipo di errori che una vera azienda in genere non commetterebbe. Come suggerito al punto 1 sopra, cerca di evitare del tutto di fare clic, ma se lo fai, non avere fretta. L’unica cosa peggiore del cadere in una truffa è rendersi conto in seguito che, se solo ti fossi preso qualche secondo in più per fermarti a pensare, avresti individuato facilmente il tradimento.
  • Segnala le email sospette al tuo team IT di lavoro. Anche se sei una piccola impresa, assicurati che tutto il tuo staff sappia dove inviare campioni di e-mail insidiose o segnalare telefonate sospette (ad esempio, potresti impostare un indirizzo e-mail aziendale come cybersec911@example.com). I truffatori raramente inviano una sola e-mail di phishing a un dipendente e raramente si arrendono se il loro primo tentativo fallisce. Prima qualcuno lancia l’allarme, prima puoi avvertire tutti gli altri.

Hai poco tempo o esperienza per occuparti della risposta alle minacce alla sicurezza informatica? Preoccupato che la sicurezza informatica finisca per distrarti da tutte le altre cose che devi fare? Non sei sicuro di come rispondere ai rapporti sulla sicurezza dei dipendenti che sono sinceramente desiderosi di aiutare?

Impara di più riguardo Sophos Managed Detection and Response:
Ricerca, rilevamento e risposta alle minacce 24 ore su 24, 7 giorni su 7


.

Leave a Comment

Your email address will not be published. Required fields are marked *