Den amerikanske mobiltelefonleverandøren T-Mobile har nettopp innrømmet å ha blitt hacket, i en innlevering kjent som en 8-K som ble sendt til Securities and Exchange Commission (SEC) i går, 2023-01-19.
De 8-K-form beskrives av SEC selv som «den nåværende rapporten»-selskapene må sende inn […] for å kunngjøre store begivenheter som aksjonærene bør vite om.»
Disse store hendelsene inkluderer spørsmål som konkurs eller bobehandling (punkt 1.03), brudd på gruvesikkerheten (punkt 1.04), endringer i en organisasjons etiske retningslinjer (punkt 5.05) og en oppsamlingskategori, vanligvis brukt for å rapportere IT-relaterte problemer , dubbet enkelt Andre hendelser (sak 8.01).
T-Mobiles andre begivenhet er beskrevet som følger:
5. januar 2023 identifiserte T-Mobile US […] at en dårlig aktør innhentet data gjennom et enkelt applikasjonsprogrammeringsgrensesnitt (“API”) uten autorisasjon. Vi startet umiddelbart en etterforskning med eksterne nettsikkerhetseksperter, og innen en dag etter at vi fikk vite om den ondsinnede aktiviteten, var vi i stand til å spore kilden til den ondsinnede aktiviteten og stoppe den. Etterforskningen vår pågår fortsatt, men den ondsinnede aktiviteten ser ut til å være fullstendig begrenset på dette tidspunktet.
På vanlig engelsk: skurkene fant en vei inn utenfra, ved hjelp av enkle nettbaserte tilkoblinger, som gjorde at de kunne hente privat kundeinformasjon uten å trenge brukernavn eller passord.
T-Mobile oppgir først hva slags data den tror angripere ikke get, som inkluderer betalingskortdetaljer, personnummer (SSN), skattenumre, andre personlige identifikatorer som førerkort eller offentlig utstedte ID-er, passord og PIN-er, og finansiell informasjon som bankkontodetaljer.
Det er den gode nyheten.
Den dårlige nyheten er at skurkene tilsynelatende kom på vei tilbake 2022-11-25 (ironisk nok, som det skjer, Black Friday, dagen etter USAs Thanksgiving) og gikk ikke tomhendt bort.
God tid til plyndring
Det ser ut til at angriperne hadde nok tid til å trekke ut og klare seg med i det minste noen personlige data for rundt 37 millioner brukere, inkludert både forhåndsbetalte (pay-as-you-go) og etterbetalte (fakturert på etterskudd) kunder, inkludert navn, faktureringsadresse, e-post, telefonnummer, fødselsdato, T-Mobile-kontonummer og informasjon som antall linjer på kontoen og planfunksjonene.
Merkelig nok beskriver T-Mobile offisielt denne tilstanden med ordene:
[T]det er foreløpig ingen bevis for at den dårlige skuespilleren var i stand til å bryte eller kompromittere systemene våre eller nettverket vårt.
Berørte kunder (og kanskje de relevante regulatorene) er kanskje ikke enige i at 37 millioner stjålne kunderegistre, spesielt inkludert hvor du bor og dine fødselsdata...
…kan viftes til side som verken et brudd eller et kompromiss.
T-Mobile, som du kanskje husker, betalte ut en hel del $ 500 millioner i 2022 for å avgjøre et brudd det ble påført i 2021, selv om dataene som ble stjålet i den hendelsen inkluderte informasjon som SSN-er og førerkortdetaljer.
Den typen personopplysninger gir generelt nettkriminelle en større sjanse for å komme i gang med alvorlige identitetstyverier, som å ta opp lån i ditt navn eller forkle deg for å signere en annen form for kontrakt, enn om de «bare» har kontaktinformasjonen din og fødselsdato.
Hva gjør jeg?
Det er ikke mye vits i å antyde at T-Mobile-kunder er mer forsiktige enn vanlig når de prøver å oppdage upålitelige e-poster som phishing-svindel som ser ut til å "vet" at de er T-Mobile-brukere.
Svindlere trenger tross alt ikke å vite hvilket mobiltelefonselskap du er hos for å gjette at du sannsynligvis bruker en av de store leverandørene, og for å phishe deg uansett.
Enkelt sagt, hvis det er noen nye forholdsregler mot phishing du bestemmer deg for å ta spesielt på grunn av dette bruddet, er vi glade for å høre det...
…men disse forholdsreglene er atferd du like godt kan ta i bruk uansett.
Så vi gjentar våre vanlige råd, som er verdt å følge uansett om du er en T-Mobile-kunde eller ikke:
- Ikke klikk på "nyttige" lenker i e-poster eller andre meldinger. Lær på forhånd hvordan du navigerer til de offisielle påloggingssidene for alle nettjenestene du bruker. (Ja, det inkluderer sosiale nettverk!) Hvis du allerede vet hvilken URL du skal bruke, trenger du aldri å stole på lenker som kan ha blitt levert av en svindlere, enten det er i e-poster, tekstmeldinger eller taleanrop.
- Tenk før du klikker. Det er ikke alltid lett å oppdage svindellenker, ikke minst fordi selv legitime tjenester ofte bruker dusinvis av forskjellige nettstedsnavn. Men i det minste noen, om ikke mange, svindel inkluderer den typen feil som et ekte selskap vanligvis ikke ville gjort. Som vi foreslår i punkt 1 ovenfor, prøv å unngå å klikke gjennom i det hele tatt, men hvis du gjør det, ikke ha det travelt. Det eneste verre med å falle for en svindel er å innse etterpå at hvis du bare hadde brukt noen ekstra sekunder på å stoppe opp og tenke, ville du lett ha oppdaget forræderiet.
- Rapporter mistenkelige e-poster til IT-teamet ditt på jobben. Selv om du er en liten bedrift, sørg for at alle ansatte vet hvor de skal sende inn forræderske e-postprøver eller rapportere mistenkelige telefonsamtaler (du kan for eksempel sette opp en e-postadresse for hele selskapet som f.eks.
cybersec911@example.com
). Skuringer sender sjelden bare én phishing-e-post til én ansatt, og de gir sjelden opp hvis deres første forsøk mislykkes. Jo før noen slår alarm, jo raskere kan du advare alle andre.
Har du mangel på tid eller ekspertise til å ta seg av cybersikkerhetstrusselrespons? Bekymret for at cybersikkerhet vil ende opp med å distrahere deg fra alle de andre tingene du trenger å gjøre? Er du usikker på hvordan du skal svare på sikkerhetsrapporter fra ansatte som er genuint opptatt av å hjelpe?
Lær mer om Sophos Managed Detection and Response:
24/7 trusseljakt, deteksjon og respons ▶
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- Platoblokkkjede. Web3 Metaverse Intelligence. Kunnskap forsterket. Tilgang her.
- kilde: https://nakedsecurity.sophos.com/2023/01/20/t-mobile-admits-to-37000000-customer-records-stolen-by-bad-actor/
- 000
- 1
- 2021
- 2022
- 2023
- a
- I stand
- Om oss
- ovenfor
- Absolute
- Logg inn
- aktivitet
- adresse
- adoptere
- avansere
- råd
- Etter
- alarm
- Alle
- allerede
- Selv
- alltid
- og
- Kunngjøre
- Søknad
- forfatter
- autorisasjon
- auto
- tilbake
- background-image
- dårlig
- Bank
- bankkonto
- Konkurser
- fordi
- før du
- atferd
- fakturering
- grensen
- Bunn
- brudd
- virksomhet
- Samtaler
- kort
- hvilken
- Kategori
- sentrum
- sjanse
- Endringer
- kode
- farge
- kommisjon
- vanligvis
- Selskaper
- Selskapet
- kompromiss
- Tilkoblinger
- kontakt
- kontrakt
- kunne
- dekke
- I dag
- kunde
- Kunder
- nettkriminelle
- Cybersecurity
- dato
- Dato
- dag
- beskrevet
- detaljer
- Gjenkjenning
- gJORDE
- forskjellig
- Vise
- ikke
- dusinvis
- kjøring
- dubbet
- lett
- emalje
- e-post
- Ansatt
- ansatte
- Engelsk
- nok
- etikk
- Selv
- Event
- hendelser
- alle
- bevis
- eksempel
- utveksling
- ekspertise
- eksperter
- utvendig
- ekstra
- trekke ut
- mislykkes
- Falling
- Egenskaper
- Noen få
- filet
- Filing
- finansiell
- Først
- etter
- følger
- funnet
- fra
- fullt
- generelt
- få
- få
- Gi
- gir
- Go
- god
- større
- skjer
- lykkelig
- høyde
- hjelpe
- hover
- Hvordan
- Hvordan
- HTTPS
- Jakt
- identifisert
- Identitet
- in
- hendelse
- inkludere
- inkluderer
- Inkludert
- informasjon
- Interface
- etterforskning
- ironisk
- saker
- IT
- selv
- Januar
- bare én
- Keen
- Vet
- kjent
- LÆRE
- læring
- Tillatelse
- lisensiering
- linjer
- lenker
- leve
- Lån
- større
- gjøre
- fikk til
- mange
- Margin
- max bredde
- meldinger
- kunne
- millioner
- feil
- Mobil
- mobiltelefon
- mer
- navn
- navn
- Naviger
- Trenger
- trenger
- Ingen
- nettverk
- Ny
- nyheter
- normal
- spesielt
- Antall
- tall
- å skaffe seg
- offisiell
- offisielt
- ONE
- pågående
- på nett
- rekkefølge
- Annen
- utenfor
- betalt
- Passord
- passord
- paul
- betaling
- Betalingskort
- kanskje
- personlig
- personlig informasjon
- phish
- phishing
- phishing-svindel
- telefon
- telefonsamtaler
- pins
- Plain
- fly
- plato
- Platon Data Intelligence
- PlatonData
- Point
- posisjon
- innlegg
- Prepaid
- privat
- sannsynligvis
- Programmering
- leverandør
- tilbydere
- trekke
- sette
- hever
- poster
- Regulatorer
- relevant
- husker
- gjenta
- rapporterer
- Rapportering
- Rapporter
- Svare
- svar
- Sikkerhet
- Svindel
- svindlere
- svindel
- SEK
- sekunder
- Verdipapirer
- Securities and Exchange Commission
- sikkerhet
- synes
- alvorlig
- Tjenester
- sett
- aksjonærer
- bør
- undertegne
- Enkelt
- ganske enkelt
- enkelt
- liten
- småbedrifter
- selskap
- solid
- noen
- Noen
- kilde
- spesielt
- Spot
- Staff
- Tilstand
- Stater
- Still
- stjålet
- Stopp
- send
- innsendt
- slik
- medfølgende
- mistenkelig
- SVG
- Systemer
- T-Mobile
- Ta
- ta
- skatt
- lag
- Thanksgiving
- De
- Kilden
- tyverier
- deres
- ting
- ting
- tenker
- trussel
- Gjennom
- tid
- til
- topp
- Trace
- overgang
- gjennomsiktig
- typisk
- URL
- us
- bruke
- Brukere
- Brudd
- Voice
- Web-basert
- Nettsted
- om
- hvilken
- HVEM
- vil
- innenfor
- uten
- ord
- Arbeid
- bekymret
- verdt
- Du
- Din
- zephyrnet