USA mobiiltelefonide pakkuja T-Mobile on just tunnistas, et teda häkiti8-K-nimelises dokumendis, mis esitati väärtpaberi- ja börsikomisjonile (SEC) eile, 2023-01-19.
. 8-K vorm SEC ise kirjeldab seda kui "Jooksva aruande" ettevõtted peavad esitama […], et teatada olulisematest sündmustest, millest aktsionärid peaksid teadma.
Need olulisemad sündmused hõlmavad selliseid probleeme nagu pankrot või pankrotti (punkt 1.03), kaevanduste ohutuse rikkumised (punkt 1.04), muutused organisatsiooni eetikakoodeksis (punkt 5.05) ja kõikehõlmav kategooria, mida tavaliselt kasutatakse IT-ga seotud probleemidest teatamiseks. , dubleeritud lihtsalt Muud sündmused (punkt 8.01).
T-Mobile'i muud sündmust kirjeldatakse järgmiselt:
5. jaanuaril 2023 tuvastas T-Mobile US […], et halb tegutseja hankis andmeid ühe rakendusliidese (API) kaudu ilma loata. Alustasime viivitamatult uurimist väliste küberjulgeolekuekspertidega ning ühe päeva jooksul pärast pahatahtlikust tegevusest teadasaamist suutsime pahatahtliku tegevuse allika jälile saada ja selle peatada. Meie uurimine on veel pooleli, kuid pahatahtlik tegevus näib praegu olevat täielikult ohjeldatud.
Lihtsas inglise keeles: kelmid leidsid sissepääsu väljastpoolt, kasutades lihtsaid veebipõhiseid ühendusi, mis võimaldasid neil hankida privaatset klienditeavet ilma kasutajanime või paroolita.
T-Mobile teatab esmalt, milliseid andmeid ta ründajateks peab ei saada, mis sisaldab maksekaardi andmeid, sotsiaalkindlustuse numbreid (SSN), maksunumbreid, muid isiklikke identifikaatoreid, nagu juhiload või riiklikult väljastatud isikutunnistused, paroolid ja PIN-koodid ning finantsteavet, nagu pangakonto andmed.
See on hea uudis.
Halb uudis on see, et kelmid sattusid ilmselt 2022-11-25 (irooniline, nagu see juhtub, Must reede, päev pärast USA tänupüha) ja ei läinud tühjade kätega minema.
Palju aega röövimiseks
Tundub, et ründajatel oli piisavalt aega, et hankida ja väljastada vähemalt mõned isikuandmed umbes 37 miljoni kasutaja kohta, sealhulgas nii ettemaksuga (makse-ja-kui-maksa) kui ka järelmaksuga (viivisega) kliendid, sealhulgas nimi, arveldusaadress, e-posti aadress, telefoninumber, sünniaeg, T-Mobile'i kontonumber ja teave, nagu ridade arv kontol ja plaani funktsioonid.
Kummalisel kombel kirjeldab T-Mobile seda asjade seisu ametlikult sõnadega:
[P]praegu puuduvad tõendid selle kohta, et halb näitleja oleks suutnud meie süsteeme või võrku rikkuda või kahjustada.
Mõjutatud kliendid (ja võib-olla ka asjaomased reguleerivad asutused) ei pruugi nõustuda sellega, et 37 miljonit varastati kliendikirjet, sealhulgas teie elukoht ja teie sünniandmed…
…saab kõrvale lükata, kuna see ei ole ei rikkumine ega kompromiss.
T-Mobile, nagu mäletate, maksis tohutult välja $ 500 miljonit aastal 2022. aastal, et lahendada 2021. aastal tabatud rikkumine, kuigi selle vahejuhtumi käigus varastatud andmed sisaldasid sellist teavet nagu SSN-id ja juhiloa üksikasjad.
Sellised isikuandmed annavad tavaliselt küberkurjategijatele suurema võimaluse toime panna tõsiseid identiteedivargusi, näiteks võtta teie nimel laenu või maskeerida, et allkirjastate mõne muu lepingu, kui siis, kui neil on „ainult” teie kontaktandmed ja teie sünnikuupäev.
Mida teha?
Pole palju mõtet vihjata, et T-Mobile'i kliendid peaksid olema tavapärasest hoolikamad, kui nad püüavad märgata ebausaldusväärseid e-kirju, näiteks andmepüügipettusi, mis näivad teadvat, et nad on T-Mobile'i kasutajad.
Lõppude lõpuks ei pea petturid teadma, millise mobiiltelefonifirmaga te töötate, et arvata, et kasutate tõenäoliselt mõnda suuremat pakkujat, ja et teid ikkagi andmepüügiks teha.
Lihtsamalt öeldes, kui otsustate konkreetselt selle rikkumise tõttu võtta kasutusele uusi andmepüügivastaseid ettevaatusabinõusid, on meil hea meel seda kuulda...
…aga need ettevaatusabinõud on käitumine, mille võiksite igal juhul omaks võtta.
Seega kordame oma tavapärast nõuannet, mida tasub järgida olenemata sellest, kas olete T-Mobile'i klient või mitte:
- Ärge klõpsake e-kirjades või muudes sõnumites olevatel "abistavatel" linkidel. Õppige eelnevalt, kuidas navigeerida kõigi kasutatavate võrguteenuste ametlikele sisselogimislehtedele. (Jah, see hõlmab ka sotsiaalvõrgustikke!) Kui teate juba õiget URL-i, mida kasutada, ei pea te kunagi tuginema linkidele, mille võisid anda petturid, olgu need siis meilides, tekstisõnumites või kõnekõnedes.
- Mõelge enne, kui klõpsate. Kelmuse linke pole alati lihtne märgata, eriti seetõttu, et isegi seaduslikud teenused kasutavad sageli kümneid erinevaid veebisaitide nimesid. Kuid vähemalt mõned, kui mitte paljud, petuskeemid sisaldavad selliseid vigu, mida tõeline ettevõte tavaliselt ei tee. Nagu soovitame ülaltoodud punktis 1, proovige üldse vältida klõpsamist, kuid kui teete, siis ärge kiirustage. Ainus asi, mis kelmusesse langedes on hullem, on tagantjärele mõistmine, et kui oleksite vaid mõne sekundi peatumiseks ja järelemõtlemiseks võtnud, oleksite reetmist hõlpsasti märganud.
- Teatage oma töö IT-meeskonnale kahtlastest meilidest. Isegi kui olete väikeettevõte, veenduge, et kõik teie töötajad teaksid, kuhu saata reeturlike meilinäidised või teatada kahtlastest telefonikõnedest (näiteks võite seadistada kogu ettevõtte e-posti aadressi, näiteks
cybersec911@example.com
). Kelmid saadavad harva ühele töötajale vaid ühe andmepüügimeili ja nad annavad harva alla, kui esimene katse ebaõnnestub. Mida varem keegi häirekella tõstab, seda varem saate kõiki teisi hoiatada.
Kas napib aega või teadmisi küberjulgeolekuohtudele reageerimiseks? Kas olete mures, et küberturvalisus tõmbab teie tähelepanu kõrvale kõigilt muudelt asjadelt, mida peate tegema? Kas te pole kindel, kuidas reageerida tõeliselt aidata soovivate töötajate turvateadetele?
Lisateave Sophose hallatav tuvastamine ja reageerimine:
Ööpäevaringne ohtude otsimine, avastamine ja reageerimine ▶
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. Juurdepääs siia.
- Allikas: https://nakedsecurity.sophos.com/2023/01/20/t-mobile-admits-to-37000000-customer-records-stolen-by-bad-actor/
- 000
- 1
- 2021
- 2022
- 2023
- a
- Võimalik
- MEIST
- üle
- absoluutne
- konto
- tegevus
- aadress
- vastu võtma
- edendama
- nõuanne
- pärast
- alarm
- Materjal: BPA ja flataatide vaba plastik
- juba
- Kuigi
- alati
- ja
- Teatama
- taotlus
- autor
- luba
- auto
- tagasi
- background-image
- Halb
- Pank
- pangakonto
- Pankrot
- sest
- enne
- käitumist
- arvete
- piir
- põhi
- rikkumine
- äri
- Kutsub
- kaart
- mis
- Kategooria
- keskus
- võimalus
- Vaidluste lahendamine
- kood
- värv
- komisjonitasu
- tavaliselt
- Ettevõtted
- ettevõte
- kompromiss
- Side
- kontakt
- leping
- võiks
- cover
- Praegu
- klient
- Kliendid
- küberkurjategijad
- Küberturvalisus
- andmed
- kuupäev
- päev
- kirjeldatud
- detailid
- Detection
- DID
- erinev
- Ekraan
- Ära
- kümneid
- sõidu
- dubleeritud
- kergesti
- kirju
- Töötaja
- töötajad
- Inglise
- piisavalt
- eetika
- Isegi
- sündmus
- sündmused
- igaüks
- tõend
- näide
- vahetamine
- teadmised
- ekspertide
- väline
- lisatasu
- väljavõte
- ei
- Langev
- FUNKTSIOONID
- vähe
- fail
- Esitamine
- finants-
- esimene
- Järel
- järgneb
- avastatud
- Alates
- täielikult
- üldiselt
- saama
- saamine
- Andma
- annab
- Go
- hea
- suurem
- juhtub
- õnnelik
- kõrgus
- aitama
- hõljuma
- Kuidas
- Kuidas
- HTTPS
- Jaht
- tuvastatud
- Identity
- in
- juhtum
- sisaldama
- hõlmab
- Kaasa arvatud
- info
- Interface
- uurimine
- Irooniline
- küsimustes
- IT
- ise
- Jaanuar
- ainult üks
- Keen
- Teadma
- teatud
- Õppida
- õppimine
- Litsentsi
- litsentsimine
- liinid
- lingid
- elama
- Laenud
- peamine
- tegema
- juhitud
- palju
- Varu
- max laiuse
- kirjad
- võib
- miljon
- vigu
- mobiilne
- mobiiltelefon
- rohkem
- nimi
- nimed
- Navigate
- Vajadus
- vajav
- kumbki
- võrk
- Uus
- uudised
- normaalne
- eelkõige
- number
- numbrid
- saamine
- ametlik
- Ametlikult
- ONE
- jätkuv
- Internetis
- et
- Muu
- väljaspool
- makstud
- Parool
- paroolid
- Paul
- makse
- Maksekaart
- ehk
- isiklik
- isiklikud andmed
- phish
- Phishing
- Õngevõtmispettused
- telefon
- telefonikõned
- mänd
- tavaline
- kava
- Platon
- Platoni andmete intelligentsus
- PlatoData
- Punkt
- positsioon
- Postitusi
- Ettemakstud
- era-
- tõenäoliselt
- Programming
- tarnija
- pakkujad
- tõmmates
- panema
- tõstab
- andmed
- Regulaatorid
- asjakohane
- meeles pidama
- kordama
- aru
- Aruandlus
- Aruanded
- Reageerida
- vastus
- ohutus
- Pettus
- Petturid
- petuskeemid
- SEC
- sekundit
- Väärtpaberite
- Securities and Exchange Commission
- turvalisus
- tundub
- tõsine
- Teenused
- komplekt
- Aktsionärid
- peaks
- kirjutama
- lihtne
- lihtsalt
- ühekordne
- väike
- väikeettevõte
- sotsiaalmeedia
- tahke
- mõned
- Keegi
- allikas
- eriti
- Kaubandus-
- Personal
- riik
- Ühendriigid
- Veel
- varastatud
- Peatus
- esitama
- esitatud
- selline
- varustatud
- kahtlane
- SVG
- süsteemid
- T-Mobile
- Võtma
- võtmine
- maks
- meeskond
- tänupüha
- .
- Allikas
- vargused
- oma
- asi
- asjad
- Mõtleb
- oht
- Läbi
- aeg
- et
- ülemine
- Jälg
- üleminek
- läbipaistev
- tüüpiliselt
- URL
- us
- kasutama
- Kasutajad
- Rikkumised
- Hääl
- Veebipõhine
- veebisait
- kas
- mis
- WHO
- will
- jooksul
- ilma
- sõnad
- Töö
- mures
- väärt
- sa
- Sinu
- sephyrnet