美国手机供应商 T-Mobile 刚刚 承认被黑,在昨天 8 年 2023 月 01 日提交给美国证券交易委员会 (SEC) 的一份名为 19-K 的文件中。
8-K形式 被美国证券交易委员会描述为 “‘当前报告’公司必须提交 [...] 以公布股东应知晓的重大事件。”
这些重大事件包括诸如破产或接管(第 1.03 项)、矿山安全违规(第 1.04 项)、组织道德准则的变化(第 5.05 项)以及通常用于报告与 IT 相关的问题的包罗万象的类别等问题,简称 其他活动 (第 8.01 项)。
T-Mobile的Other Event描述如下:
5 年 2023 月 XNUMX 日,T-Mobile US [...] 发现不良行为者未经授权通过单个应用程序编程接口(“API”)获取数据。 我们迅速与外部网络安全专家展开调查,在得知恶意活动的一天内,我们就能够追踪到恶意活动的来源并将其阻止。 我们的调查仍在进行中,但恶意活动目前似乎已完全得到遏制。
用简单的英语来说:骗子找到了一种从外部进入的方法,使用简单的基于网络的连接,使他们无需用户名或密码即可检索私人客户信息。
T-Mobile 首先说明它认为攻击者的数据类型 没有做 get,其中包括支付卡详细信息、社会安全号码 (SSN)、税号、其他个人标识符(例如驾驶执照或政府签发的 ID)、密码和 PIN 以及财务信息(例如银行帐户详细信息)。
这是个好消息。
坏消息是,骗子显然在 2022 年 11 月 25 日回来了(具有讽刺意味的是,碰巧的是, 黑色星期五,美国感恩节后的第二天),并没有空手而归。
充足的时间进行掠夺
攻击者似乎有足够的时间提取和窃取至少约 37 万用户的一些个人数据,包括预付费(现收现付)和后付费(欠款)客户,包括姓名、帐单地址、电子邮件、电话号码、出生日期、T-Mobile 帐号以及帐户线路数和计划功能等信息。
奇怪的是,T-Mobile 官方用以下文字描述了这种情况:
[T] 目前没有证据表明坏人能够破坏或破坏我们的系统或网络。
受影响的客户(可能还有相关监管机构)可能不同意 37 万被盗的客户记录,特别是包括您的住所和出生数据……
......可以被搁置一边,既不是违反也不是妥协。
您可能还记得,T-Mobile 支付了巨额费用 500 百万美元 2022 年解决了它在 2021 年遭受的违规行为,尽管该事件中被盗的数据确实包括 SSN 和驾驶执照详细信息等信息。
这类个人数据通常使网络罪犯有更大的机会实施严重的身份盗窃,例如以您的名义贷款或伪装成您签署某种其他类型的合同,而不是他们“仅”拥有您的联系方式和您的联系方式。出生日期。
怎么办呢?
建议 T-Mobile 客户在尝试发现不可信的电子邮件(例如似乎“知道”他们是 T-Mobile 用户的网络钓鱼诈骗)时比平时更加谨慎并没有多大意义。
毕竟,诈骗者不需要知道您使用的是哪家移动电话公司,就可以猜测您可能使用的是主要提供商之一,并以任何方式对您进行网络钓鱼。
简而言之,如果您因为这次违规而决定采取任何新的反网络钓鱼预防措施,我们很高兴听到……
......但是这些预防措施是你无论如何都可以采取的行为。
因此,我们将重复我们通常的建议,无论您是否是 T-Mobile 客户,这些建议都值得遵循:
- 不要点击电子邮件或其他信息中的“有用”链接。 提前了解如何导航到您使用的所有在线服务的官方登录页面。 (是的,这包括社交网络!)如果您已经知道要使用的正确 URL,则永远不需要依赖诈骗者可能提供的链接,无论是电子邮件、短信还是语音电话。
- 点击之前请深思。 发现欺诈链接并不总是那么容易,尤其是因为即使是合法服务也经常使用几十个不同的网站名称。 但至少有一些(如果不是很多的话)诈骗包括真正的公司通常不会犯的那种错误。 正如我们在上面的第 1 点中建议的那样,尽量避免点击,但如果你点击了,也不要着急。 唯一比上当受骗更糟糕的是事后才意识到,只要你多花几秒钟停下来想一想,你就会很容易地发现背叛行为。
- 向您的工作 IT 团队报告可疑电子邮件。 即使您是一家小型企业,也要确保您的所有员工都知道在哪里提交危险的电子邮件样本或报告可疑的电话(例如,您可以设置一个公司范围的电子邮件地址,例如
cybersec911@example.com
)。 骗子很少只向一名员工发送一封网络钓鱼电子邮件,如果第一次尝试失败,他们也很少放弃。 越早有人发出警报,你就能越早警告其他人。
缺乏时间或专业知识来处理网络安全威胁响应? 担心网络安全最终会分散您对所有其他需要做的事情的注意力? 不确定如何回应真正热心提供帮助的员工的安全报告?
进一步了解 Sophos 托管检测和响应:
24/7 威胁追踪、检测和响应 ▶
- SEO 支持的内容和 PR 分发。 今天得到放大。
- 柏拉图区块链。 Web3 元宇宙智能。 知识放大。 访问这里。
- Sumber: https://nakedsecurity.sophos.com/2023/01/20/t-mobile-admits-to-37000000-customer-records-stolen-by-bad-actor/
- 000
- 1
- 2021
- 2022
- 2023
- a
- Able
- 关于
- 以上
- 绝对
- 账号管理
- 活动
- 地址
- 采用
- 推进
- 忠告
- 后
- 报警
- 所有类型
- 已经
- 尽管
- 时刻
- 和
- 宣布
- 应用领域
- 作者
- 授权
- 汽车
- 背部
- 背景图像
- 坏
- 银行
- 银行账户
- 破产
- 因为
- before
- 行为
- 计费
- 边界
- 半身裙/裤
- 违反
- 商业
- 呼叫
- 卡
- 关心
- 产品类别
- Center
- 机会
- 更改
- 码
- 颜色
- 佣金
- 常用
- 公司
- 公司
- 妥协
- 连接
- CONTACT
- 合同
- 可以
- 外壳
- 目前
- 顾客
- 合作伙伴
- 网络罪犯
- 网络安全
- data
- 日期
- 天
- 描述
- 详情
- 检测
- DID
- 不同
- 屏 显:
- 别
- 几十个
- 驾驶
- 配音
- 容易
- 邮箱地址
- 电子邮件
- 员工
- 员工
- 英语
- 更多
- 伦理
- 甚至
- 活动
- 事件
- 每个人
- 证据
- 例子
- 交换
- 专门知识
- 专家
- 外部
- 额外
- 提取
- 失败
- 落下
- 特征
- 少数
- 文件
- 备案
- 金融
- (名字)
- 以下
- 如下
- 发现
- 止
- 充分
- 通常
- 得到
- 越来越
- 给
- 给
- Go
- 非常好
- 更大的
- 发生
- 快乐
- 高度
- 帮助
- 徘徊
- 创新中心
- How To
- HTTPS
- 狩猎
- 确定
- 身分
- in
- 事件
- 包括
- 包括
- 包含
- 信息
- 接口
- 调查
- 讽刺地
- 问题
- IT
- 本身
- 一月
- 只有一个
- 敏锐
- 知道
- 已知
- 学习用品
- 学习
- 执照
- 许可证
- 线
- 链接
- 生活
- 贷款
- 主要
- 使
- 管理
- 许多
- 余量
- 最大宽度
- 条未读消息
- 可能
- 百万
- 错误
- 联络号码
- 移动电话
- 更多
- 姓名
- 名称
- 导航
- 需求
- 需要
- 也不
- 网络
- 全新
- 消息
- 正常
- 特别是
- 数
- 数字
- 获得
- 官方
- 正式
- 一
- 正在进行
- 在线
- 秩序
- 其他名称
- 学校以外
- 支付
- 密码
- 密码
- 保罗
- 付款
- 支付卡
- 也许
- 个人
- 个人资料
- 网络钓鱼
- 钓鱼
- 网络钓鱼诈骗
- 电话
- 电话
- 射梢类
- 朴素
- 计划
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 点
- 位置
- 帖子
- 预付
- 私立
- 大概
- 代码编程
- 提供者
- 供应商
- 拉
- 放
- 提高
- 记录
- 稳压器
- 相应
- 纪念
- 重复
- 报告
- 报告
- 业务报告
- 回应
- 响应
- 实现安全
- 诈骗
- 骗子
- 诈骗
- 证券交易委员会
- 秒
- 证券
- 美国证券交易委员会
- 保安
- 似乎
- 严重
- 特色服务
- 集
- 股东
- 应该
- 签署
- 简易
- 只是
- 单
- 小
- 小型企业
- 社会
- 固体
- 一些
- 有人
- 来源
- 特别是
- Spot
- 团队
- 州/领地
- 州
- 仍
- 被盗
- Stop 停止
- 提交
- 提交
- 这样
- 提供
- 可疑
- SVG的
- 产品
- T-Mobile公司
- 采取
- 服用
- 税
- 团队
- 感恩
- 盗窃
- 其
- 事
- 事
- 想
- 威胁
- 通过
- 次
- 至
- 最佳
- 追踪
- 过渡
- 透明
- 一般
- 网址
- us
- 使用
- 用户
- 违反
- 音色
- 基于网络的
- 您的网站
- 是否
- 这
- WHO
- 将
- 中
- 也完全不需要
- 话
- 工作
- 担心
- 价值
- 完全
- 您一站式解决方案
- 和风网