Den amerikanska mobiltelefonleverantören T-Mobile har precis erkände att ha blivit hackad, i en ansökan känd som en 8-K som lämnades in till Securities and Exchange Commission (SEC) i går, 2023-01-19.
Smakämnen 8-K-form beskrivs av SEC själv som "den 'aktuella rapporten'-företagen måste lämna in […] för att tillkännage större händelser som aktieägarna borde känna till."
Dessa stora händelser inkluderar frågor som konkurs eller konkurs (punkt 1.03), brott mot minsäkerheten (punkt 1.04), förändringar i en organisations etiska kod (punkt 5.05) och en sammanfattande kategori, som vanligtvis används för att rapportera IT-relaterade problem , enkelt dubbat Andra händelser (punkt 8.01).
T-Mobiles andra evenemang beskrivs enligt följande:
Den 5 januari 2023 identifierade T-Mobile US […] att en dålig aktör skaffade data genom ett enda applikationsprogrammeringsgränssnitt (“API”) utan tillstånd. Vi inledde omedelbart en utredning med externa cybersäkerhetsexperter och inom en dag efter att vi fick reda på den skadliga aktiviteten kunde vi spåra källan till den skadliga aktiviteten och stoppa den. Vår utredning pågår fortfarande, men den skadliga aktiviteten verkar vara helt innesluten just nu.
På ren engelska: skurkarna hittade en väg in utifrån, med hjälp av enkla webbaserade anslutningar, som gjorde det möjligt för dem att hämta privat kundinformation utan att behöva ett användarnamn eller lösenord.
T-Mobile anger först vilken typ av data den tror angripare inte get, som inkluderar betalkortsuppgifter, personnummer (SSN), skattenummer, andra personliga identifierare som körkort eller statligt utfärdade ID, lösenord och PIN-koder och finansiell information som bankkontouppgifter.
Det är de goda nyheterna.
Den dåliga nyheten är att skurkarna uppenbarligen kom på väg tillbaka 2022-11-25 (ironiskt nog, som det händer, Black Friday, dagen efter USA:s Thanksgiving) och gick inte iväg tomhänt.
Gott om tid för plundring
Angriparna verkar ha haft tillräckligt med tid att extrahera och klara sig med åtminstone en del personlig data för cirka 37 miljoner användare, inklusive både förbetalda (pay-as-you-go) och efterskottsbetalda (fakturerade i efterskott) kunder, inklusive namn, faktureringsadress, e-post, telefonnummer, födelsedatum, T-Mobile-kontonummer och information som antalet rader på kontot och planfunktioner.
Märkligt nog beskriver T-Mobile officiellt detta tillstånd med orden:
[T]det finns för närvarande inga bevis för att den dåliga skådespelaren kunde bryta mot eller äventyra våra system eller vårt nätverk.
Berörda kunder (och kanske relevanta tillsynsmyndigheter) kanske inte håller med om att 37 miljoner stulna kundregister, särskilt inklusive var du bor och dina födelseuppgifter...
…kan viftas åt sidan som varken ett brott eller en kompromiss.
T-Mobile, som du kanske minns, betalade ut en hel del $ 500 miljoner 2022 för att lösa ett intrång som den drabbades av 2021, även om de uppgifter som stulits i den händelsen inkluderade information som SSN och körkortsdetaljer.
Den typen av personuppgifter ger generellt cyberbrottslingar en större chans att få bukt med allvarliga identitetsstölder, som att ta lån i ditt namn eller maskera dig för att skriva på något annat slags kontrakt, än om de "bara" har dina kontaktuppgifter och dina födelsedatum.
Vad göra?
Det finns ingen mening med att antyda att T-Mobile-kunder är mer försiktiga än vanligt när de försöker upptäcka opålitliga e-postmeddelanden som nätfiske som verkar "veta" att de är T-Mobile-användare.
När allt kommer omkring behöver bedragare inte veta vilket mobiltelefonbolag du är hos för att gissa att du förmodligen använder någon av de stora leverantörerna och för att nätfiska dig ändå.
Enkelt uttryckt, om det finns några nya försiktighetsåtgärder mot nätfiske som du bestämmer dig för att vidta specifikt på grund av detta brott, är vi glada att höra det...
…men dessa försiktighetsåtgärder är beteenden du lika gärna kan anta ändå.
Så vi kommer att upprepa våra vanliga råd, som är värda att följa oavsett om du är en T-Mobile-kund eller inte:
- Klicka inte på "nyttiga" länkar i e-postmeddelanden eller andra meddelanden. Lär dig i förväg hur du navigerar till de officiella inloggningssidorna för alla onlinetjänster du använder. (Ja, det inkluderar sociala nätverk!) Om du redan känner till rätt URL att använda behöver du aldrig lita på länkar som kan ha tillhandahållits av en bedragare, vare sig det är i e-postmeddelanden, textmeddelanden eller röstsamtal.
- Tänk efter innan du klickar. Det är inte alltid lätt att upptäcka blufflänkar, inte minst eftersom även legitima tjänster ofta använder dussintals olika webbplatsnamn. Men åtminstone några, om inte många, bedrägerier inkluderar den sortens misstag som ett genuint företag vanligtvis inte skulle göra. Som vi föreslår i punkt 1 ovan, försök att undvika att klicka dig igenom alls, men om du gör det, ha inte bråttom. Det enda värre med att falla för en bluff är att efteråt inse att om du bara hade tagit några extra sekunder på dig att stanna upp och tänka, skulle du lätt ha upptäckt sveket.
- Rapportera misstänkta e-postmeddelanden till ditt IT-team. Även om du är ett litet företag, se till att all personal vet var de ska skicka in förrädiska e-postprover eller rapportera misstänkta telefonsamtal (du kan till exempel skapa en e-postadress för hela företaget som t.ex.
cybersec911@example.com
). Skurkar skickar sällan bara ett nätfiskemail till en anställd, och de ger sällan upp om deras första försök misslyckas. Ju tidigare någon slår larm, desto snabbare kan du varna alla andra.
Har du ont om tid eller expertis för att ta hand om cybersäkerhetshot? Orolig för att cybersäkerhet kommer att distrahera dig från alla andra saker du behöver göra? Är du osäker på hur du ska svara på säkerhetsrapporter från anställda som verkligen vill hjälpa till?
Läs mer om Sophos Managed Detection and Response:
24/7 hotjakt, upptäckt och respons ▶
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- Platoblockchain. Web3 Metaverse Intelligence. Kunskap förstärkt. Tillgång här.
- Källa: https://nakedsecurity.sophos.com/2023/01/20/t-mobile-admits-to-37000000-customer-records-stolen-by-bad-actor/
- 000
- 1
- 2021
- 2022
- 2023
- a
- Able
- Om Oss
- ovan
- Absolut
- Konto
- aktivitet
- adress
- anta
- avancera
- rådgivning
- Efter
- larm
- Alla
- redan
- Även
- alltid
- och
- Meddela
- Ansökan
- Författaren
- tillstånd
- bil
- tillbaka
- bakgrund-bild
- Badrum
- Bank
- bankkonto
- Konkurs
- därför att
- innan
- beteenden
- fakturering
- gränsen
- Botten
- brott
- företag
- Samtal
- kortet
- vilken
- Kategori
- Centrum
- chans
- Förändringar
- koda
- färg
- provision
- vanligen
- Företag
- företag
- kompromiss
- Anslutningar
- kontakta
- kontrakt
- kunde
- täcka
- För närvarande
- kund
- Kunder
- nätbrottslingar
- Cybersäkerhet
- datum
- Datum
- dag
- beskriven
- detaljer
- Detektering
- DID
- olika
- Visa
- inte
- dussintals
- drivande
- dubbade
- lätt
- e
- Anställd
- anställda
- Engelska
- tillräckligt
- etik
- Även
- händelse
- händelser
- alla
- bevis
- exempel
- utbyta
- expertis
- experter
- extern
- extra
- extrahera
- misslyckas
- Fallande
- Funktioner
- få
- Fil
- Arkivering
- finansiella
- Förnamn
- efter
- följer
- hittade
- från
- fullständigt
- allmänhet
- skaffa sig
- få
- Ge
- ger
- Go
- god
- större
- händer
- lyckligt
- höjd
- hjälpa
- hovring
- Hur ser din drömresa ut
- How To
- HTTPS
- Jakt
- identifierade
- Identitet
- in
- incident
- innefattar
- innefattar
- Inklusive
- informationen
- Gränssnitt
- Undersökningen
- Ironiskt
- problem
- IT
- sig
- Januari
- bara en
- Angelägen
- Vet
- känd
- LÄRA SIG
- inlärning
- Licens
- licensiering
- rader
- länkar
- lever
- Lån
- större
- göra
- förvaltade
- många
- Marginal
- max-bredd
- meddelanden
- kanske
- miljon
- misstag
- Mobil
- mobiltelefon
- mer
- namn
- namn
- Navigera
- Behöver
- behöver
- Varken
- nät
- Nya
- nyheter
- normala
- i synnerhet
- antal
- nummer
- erhållande
- tjänsteman
- Officiellt
- ONE
- pågående
- nätet
- beställa
- Övriga
- utanför
- betalas
- Lösenord
- lösenord
- paul
- betalning
- Betalkort
- kanske
- personlig
- personlig information
- phish
- Nätfiske
- phishing
- telefon
- telefonsamtal
- tall
- Enkel
- Planen
- plato
- Platon Data Intelligence
- PlatonData
- Punkt
- placera
- inlägg
- Förutbetalda
- privat
- förmodligen
- Programmering
- leverantör
- leverantörer
- dra
- sätta
- höjer
- register
- Tillsynsmyndigheter
- relevanta
- ihåg
- upprepa
- rapport
- Rapportering
- Rapport
- Svara
- respons
- Säkerhet
- Lurendrejeri
- Bedragare
- bedrägerier
- SEC
- sekunder
- Värdepapper
- säkerhet och utbytesprovision
- säkerhet
- verkar
- allvarlig
- Tjänster
- in
- aktieägare
- skall
- signera
- Enkelt
- helt enkelt
- enda
- Small
- Small Business
- Social hållbarhet
- fast
- några
- någon
- Källa
- specifikt
- Spot
- Personal
- Ange
- Stater
- Fortfarande
- stulna
- Sluta
- skicka
- lämnats
- sådana
- levereras
- misstänksam
- SVG
- System
- T-Mobile
- Ta
- tar
- skatt
- grupp
- Tacksägelse
- Smakämnen
- källan
- stölder
- deras
- sak
- saker
- tänker
- hot
- Genom
- tid
- till
- topp
- Trace
- övergång
- transparent
- typiskt
- URL
- us
- användning
- användare
- Överträdelser
- Röst
- Webb-baserad
- Webbplats
- om
- som
- VEM
- kommer
- inom
- utan
- ord
- Arbete
- orolig
- värt
- Om er
- Din
- zephyrnet