US-Mobilfunkanbieter T-Mobile hat gerade hat zugegeben, gehackt worden zu sein, in einer als 8-K bekannten Einreichung, die gestern, 2023-01-19, bei der Securities and Exchange Commission (SEC) eingereicht wurde.
Das 8-K-Formular wird von der SEC selbst als beschrieben „den ‚aktuellen Bericht‘ müssen Unternehmen […] einreichen, um wichtige Ereignisse anzukündigen, über die Aktionäre Bescheid wissen sollten.“
Zu diesen wichtigen Ereignissen gehören Themen wie Konkurs oder Zwangsverwaltung (Punkt 1.03), Verstöße gegen die Minensicherheit (Punkt 1.04), Änderungen im Ethikkodex einer Organisation (Punkt 5.05) und eine Sammelkategorie, die üblicherweise für die Meldung von IT-bezogenen Problemen verwendet wird , einfach synchronisiert Weitere Veranstaltungen (Punkt 8.01).
Das andere Ereignis von T-Mobile wird wie folgt beschrieben:
Am 5. Januar 2023 stellte T-Mobile US […] fest, dass ein Angreifer ohne Genehmigung Daten über eine einzige Anwendungsprogrammierschnittstelle („API“) erlangte. Wir haben umgehend eine Untersuchung mit externen Cybersicherheitsexperten eingeleitet und innerhalb eines Tages, nachdem wir von der böswilligen Aktivität erfahren hatten, konnten wir die Quelle der böswilligen Aktivität zurückverfolgen und stoppen. Unsere Untersuchung dauert noch an, aber die böswillige Aktivität scheint zu diesem Zeitpunkt vollständig eingedämmt zu sein.
Im Klartext: Die Gauner fanden einen Weg von außen über einfache webbasierte Verbindungen, die es ihnen ermöglichten, private Kundeninformationen abzurufen, ohne einen Benutzernamen oder ein Passwort zu benötigen.
T-Mobile gibt zunächst an, welche Art von Daten Angreifer vermuten nicht erhalten, die Zahlungskartendetails, Sozialversicherungsnummern (SSNs), Steuernummern, andere persönliche Identifikatoren wie Führerscheine oder von der Regierung ausgestellte IDs, Passwörter und PINs sowie Finanzinformationen wie Bankkontodaten umfasst.
Das sind die guten Nachrichten.
Die schlechte Nachricht ist, dass sich die Gauner anscheinend am 2022 eingemischt haben (ironischerweise Black Friday, am Tag nach US Thanksgiving) und ging nicht leer aus.
Viel Zeit zum Plündern
Die Angreifer hatten anscheinend genug Zeit, um zumindest einige persönliche Daten von etwa 37 Millionen Benutzern, darunter sowohl Prepaid- (Pay-as-you-go) als auch Postpaid- (nachträglich abgerechnete) Kunden, zu extrahieren und sich davon zu machen Name, Rechnungsadresse, E-Mail, Telefonnummer, Geburtsdatum, T-Mobile-Kontonummer und Informationen wie die Anzahl der Leitungen des Kontos und Planfunktionen.
Kurioserweise beschreibt T-Mobile diesen Sachverhalt offiziell mit den Worten:
[T]hier gibt es derzeit keine Beweise dafür, dass der Angreifer in der Lage war, unsere Systeme oder unser Netzwerk zu verletzen oder zu kompromittieren.
Betroffene Kunden (und möglicherweise die zuständigen Aufsichtsbehörden) stimmen möglicherweise nicht zu, dass 37 Millionen gestohlene Kundendatensätze, insbesondere Ihr Wohnort und Ihre Geburtsdaten, …
…kann weder als Bruch noch als Kompromiss abgetan werden.
Wie Sie sich vielleicht erinnern, zahlte T-Mobile eine satte Summe aus 500 Mio. US$ im Jahr 2022, um einen im Jahr 2021 erlittenen Verstoß beizulegen, obwohl die bei diesem Vorfall gestohlenen Daten Informationen wie Sozialversicherungsnummern und Führerscheindetails enthielten.
Diese Art von personenbezogenen Daten gibt Cyberkriminellen im Allgemeinen eine größere Chance, ernsthafte Identitätsdiebstähle durchzuführen, wie z. B. Kredite in Ihrem Namen aufzunehmen oder sich als Sie auszugeben, um eine andere Art von Vertrag zu unterzeichnen, als wenn sie „nur“ Ihre und Ihre Kontaktdaten haben Geburtsdatum.
Was ist zu tun?
Es macht wenig Sinn, darauf hinzuweisen, dass T-Mobile-Kunden mehr Sorgfalt als sonst walten lassen, wenn sie versuchen, nicht vertrauenswürdige E-Mails wie Phishing-Angriffe zu erkennen, die scheinbar „wissen“, dass sie T-Mobile-Benutzer sind.
Schließlich müssen Betrüger nicht wissen, bei welchem Mobilfunkanbieter Sie sind, um zu erraten, dass Sie wahrscheinlich einen der großen Anbieter nutzen, und Sie trotzdem zu phishen.
Einfach ausgedrückt, wenn Sie sich speziell wegen dieser Verletzung für neue Anti-Phishing-Vorkehrungen entscheiden, freuen wir uns, dies zu hören …
…aber diese Vorsichtsmaßnahmen sind Verhaltensweisen, die Sie genauso gut übernehmen können.
Daher wiederholen wir unsere üblichen Ratschläge, die es wert sind, befolgt zu werden, unabhängig davon, ob Sie Kunde von T-Mobile sind oder nicht:
- Klicken Sie nicht auf „hilfreiche“ Links in E-Mails oder anderen Nachrichten. Informieren Sie sich vorab, wie Sie zu den offiziellen Anmeldeseiten aller von Ihnen genutzten Online-Dienste navigieren. (Ja, dazu gehören auch soziale Netzwerke!) Wenn Sie bereits die richtige URL kennen, müssen Sie sich nie auf Links verlassen, die möglicherweise von einem Betrüger bereitgestellt wurden, sei es in E-Mails, Textnachrichten oder Sprachanrufen.
- Denken Sie nach, bevor Sie klicken. Es ist nicht immer einfach, betrügerische Links zu erkennen, nicht zuletzt, weil selbst legitime Dienste oft Dutzende verschiedener Website-Namen verwenden. Aber zumindest einige, wenn nicht viele, Betrügereien beinhalten die Art von Fehlern, die ein echtes Unternehmen normalerweise nicht machen würde. Wie wir in Punkt 1 oben vorgeschlagen haben, versuchen Sie, überhaupt nicht durchzuklicken, aber wenn Sie dies tun, haben Sie keine Eile. Das Einzige, was schlimmer ist, als auf einen Betrug hereinzufallen, ist, hinterher zu erkennen, dass Sie den Verrat leicht entdeckt hätten, wenn Sie sich nur ein paar zusätzliche Sekunden Zeit genommen hätten, um innezuhalten und nachzudenken.
- Melden Sie verdächtige E-Mails Ihrem geschäftlichen IT-Team. Auch wenn Sie ein kleines Unternehmen sind, stellen Sie sicher, dass alle Ihre Mitarbeiter wissen, wo sie heimtückische E-Mail-Proben einreichen oder verdächtige Telefonanrufe melden können (Sie könnten beispielsweise eine unternehmensweite E-Mail-Adresse einrichten, wie z
cybersec911@example.com
). Gauner senden selten nur eine Phishing-E-Mail an einen Mitarbeiter, und sie geben selten auf, wenn ihr erster Versuch fehlschlägt. Je früher jemand Alarm schlägt, desto eher können Sie alle anderen warnen.
Fehlt Ihnen die Zeit oder das Fachwissen, um sich um die Reaktion auf Cybersicherheitsbedrohungen zu kümmern? Befürchten Sie, dass die Cybersicherheit Sie am Ende von all den anderen Dingen ablenken wird, die Sie tun müssen? Sie sind sich nicht sicher, wie Sie auf Sicherheitsmeldungen von Mitarbeitern reagieren sollen, die wirklich gerne helfen möchten?
Erfahren Sie mehr darüber Sophos Managed Detection and Response:
Bedrohungssuche, -erkennung und -reaktion rund um die Uhr ▶
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. Hier zugreifen.
- Quelle: https://nakedsecurity.sophos.com/2023/01/20/t-mobile-admits-to-37000000-customer-records-stolen-by-bad-actor/
- 000
- 1
- 2021
- 2022
- 2023
- a
- Fähig
- Über Uns
- oben
- Absolute
- Konto
- Aktivität
- Adresse
- adoptieren
- vorantreiben
- Beratung
- Nach der
- Alarm
- Alle
- bereits
- Obwohl
- immer
- und
- Bekannt geben
- Anwendung
- Autor
- Genehmigung
- Auto
- Zurück
- background-image
- Badewanne
- Bank
- Bankkonto
- Bankruptcy
- weil
- Bevor
- Verhaltensweisen
- Rechnungs-
- Grenze
- Boden
- Verletzung
- Geschäft
- Aufrufe
- Karte
- österreichische Unternehmen
- Kategorie
- Center
- Chance
- Änderungen
- Code
- Farbe
- Provision
- häufig
- Unternehmen
- Unternehmen
- Kompromiss
- Verbindungen
- Kontakt
- Vertrag
- könnte
- Abdeckung
- Zur Zeit
- Kunde
- Kunden
- Cyber-Kriminelle
- Internet-Sicherheit
- technische Daten
- Datum
- Tag
- beschrieben
- Details
- Entdeckung
- DID
- anders
- Display
- Nicht
- Dutzende
- Fahren
- synchronisiert
- leicht
- E-Mails
- Mitarbeiter
- Mitarbeiter
- Englisch
- genug
- Ethik
- Sogar
- Event
- Veranstaltungen
- jedermann
- Beweis
- Beispiel
- Austausch-
- Expertise
- Experten
- extern
- extra
- Extrakt
- scheitert
- Falling
- Eigenschaften
- wenige
- Reichen Sie das
- Einreichung
- Revolution
- Vorname
- Folgende
- folgt
- gefunden
- für
- voll
- allgemein
- bekommen
- bekommen
- ABSICHT
- gibt
- Go
- gut
- mehr
- das passiert
- glücklich
- Höhe
- Hilfe
- schweben
- Ultraschall
- Hilfe
- HTTPS
- Jagd
- identifiziert
- Identitätsschutz
- in
- Zwischenfall
- das
- Dazu gehören
- Einschließlich
- Information
- Schnittstelle
- Untersuchung
- Ironisch
- Probleme
- IT
- selbst
- Januar
- nur einer
- Scharf
- Wissen
- bekannt
- LERNEN
- lernen
- Lizenz
- Lizenzen
- Linien
- Links
- leben
- Kredite
- Dur
- um
- verwaltet
- viele
- Marge
- max-width
- Nachrichten
- könnte
- Million
- Fehler
- Mobil
- Handy
- mehr
- Name
- Namen
- Navigieren
- Need
- benötigen
- Weder
- Netzwerk
- Neu
- News
- normal
- vor allem
- Anzahl
- Zahlen
- beschaffen
- offiziell
- Offiziell
- EINEM
- laufend
- Online
- Auftrag
- Andere
- aussen
- bezahlt
- Passwort
- Passwörter
- Alexander
- Zahlung
- Zahlungskarte
- vielleicht
- persönliche
- Daten
- Phishing
- Phishing
- Phishing Scams
- Telefon
- Anrufe
- Stifte
- Ebene
- Plan
- Plato
- Datenintelligenz von Plato
- PlatoData
- Points
- Position
- BLOG-POSTS
- Vorausbezahlt
- privat
- wahrscheinlich
- Programmierung
- Versorger
- Anbieter
- Ziehen
- setzen
- wirft
- Aufzeichnungen
- Regulators
- relevant
- merken
- wiederholen
- berichten
- Reporting
- Meldungen
- Reagieren
- Antwort
- Sicherheit
- Betrug
- Betrüger
- Betrug
- SEK
- Sekunden
- Securities
- Securities and Exchange Commission
- Sicherheitdienst
- scheint
- ernst
- Lösungen
- kompensieren
- Aktionäre
- sollte
- Schild
- Einfacher
- einfach
- Single
- klein
- Small Business
- Social Media
- solide
- einige
- Jemand,
- Quelle
- speziell
- Spot
- Unser Team
- Bundesstaat
- Staaten
- Immer noch
- gestohlen
- Stoppen
- abschicken
- eingereicht
- so
- geliefert
- misstrauisch
- SVG
- Systeme und Techniken
- T-Mobile
- Nehmen
- Einnahme
- Steuer
- Team
- Danksagung
- Das
- Die Quelle
- Diebstähle
- ihr
- Ding
- Thinks
- Bedrohung
- Durch
- Zeit
- zu
- Top
- Spur
- Übergang
- transparent
- typisch
- URL
- us
- -
- Nutzer
- Verstöße
- Stimme
- Webbasiert
- Webseite
- ob
- welche
- WHO
- werden wir
- .
- ohne
- Worte
- Arbeiten
- besorgt
- wert
- Du
- Ihr
- Zephyrnet