Kimlik ve Erişim Yönetimi, Mevzuat ve Dava, Güvenlik Operasyonları
Başsavcı, Telekom’u Milyonlarca Mağduru Doğru Şekilde Bilgilendirmemekle Suçladı
Mathew J. Schwartz (euroinfosec) •
7 Ocak 2025
ABD telekomünikasyon devi T-Mobile’ın memleketindeki eyalet başsavcısı, 79 milyondan fazla mevcut ve eski müşterinin kişisel ayrıntılarını açığa çıkaran 2021 ihlali nedeniyle firmaya dava açtı.
Ayrıca bakınız: Bulutta Uyumluluk ve Güvenlik Sorunlarının Ele Alınması Konulu OnDemand I Panel Tartışması
Washington merkezli Bellevue mobil iletişim operatörü, 2017, 2018, 2019, 2020, Aralık 2021 ve Nisan 2022 dahil olmak üzere son yıllarda çok sayıda veri sızıntısına maruz kalarak veri ihlalleri konusunda itibar kazandı.
Washington eyaletinin Pazartesi günü federal mahkemeye sunduğu şikayetin odak noktası, ilk kez 17 Ağustos 2021’de telekomünikasyon şirketi tarafından onaylanan bir ihlale odaklanıyor. Dava, T-Mobile’ı siber güvenlik konusunda yanlış güvenceler vererek halkı yanıltmakla suçluyor ve bunun başarısız olduğunu belirtiyor. Verileri korumak için kendi standartlarına uymanın yanı sıra tanınmış endüstri standartlarını karşılamamak. Eyalet savcıları, firmanın “Sonunda Ağustos ihlaline yol açan ve daha da kötüleştiren güvenlik açıkları konusunda uyarıda bulunan kendi iç raporlarını göz ardı ettiğini” yazdı.
Açığa çıkan bilgiler arasında milyonlarca Sosyal Güvenlik numarası, isim ve fiziksel adres, telefon numaraları, sürücü belgesi bilgileri ve cihazların benzersiz Uluslararası mobil ekipman kimlik numaraları yer alıyordu.
Washington Başsavcısı Bob Ferguson, “Bu önemli veri ihlali tamamen önlenebilirdi” dedi. “T-Mobile’ın siber güvenlik sistemlerindeki önemli güvenlik açıklarını düzeltmek için yılları vardı ve başarısız oldu.”
İhlal, halihazırda Massachusetts eyaleti başsavcılığının yanı sıra ABD Federal İletişim Komisyonu tarafından yürütülen bir soruşturmanın odak noktasıydı. Eylül 2024’te T-Mobile, 2021, 2022 ve 2023’teki siber güvenlik olayları nedeniyle 15,8 milyon dolar para cezası ödemeyi kabul ederek FCC soruşturmasını sonuçlandırdı. Şirket ayrıca sıfır güven yaklaşımlarının yanı sıra kimlik avına karşı dayanıklılık da dahil olmak üzere altyapısını elden geçirme sözü verdi. çok faktörlü kimlik doğrulama.
T-Mobile, yeni davanın bir “sürpriz” olduğunu ve ihlal konusunda 2021’den bu yana Washington başsavcılığıyla görüşmelerde bulunduğunu ve en son geçen Kasım ayında bu diyaloğu sürdürmeye çalıştığını söyledi. T-Mobile yaptığı açıklamada, “Onların yaklaşımına ve başvurudaki iddialara katılmasak da, daha fazla diyaloğa açığız ve FCC ile daha önce yaptığımız gibi bu sorunu çözme fırsatını memnuniyetle karşılıyoruz.” dedi. “Ayrıca, müşterilerimizi daha fazla korumak için T-Mobile’ın son dört yılda siber güvenliğe yaklaşımımızı nasıl temelden dönüştürdüğünü paylaşmayı sabırsızlıkla bekliyoruz.”
Washington eyaletindeki dava ayrıca, T-Mobile’ın etkilenen mevcut ve tüketicileri doğru şekilde bilgilendirmediğini ve her birine, bazı durumlarda “yanıltıcı” ve “ihlalin algılanan etkisini en aza indiren” farklı mesajlar gönderdiğini iddia ediyor. Buna, şirketin Sosyal Güvenlik numarası açığa çıkan mağdurlara bu gerçeği bildirmemesi ve bunun yerine yalnızca Sosyal Güvenlik numarası ifşa edilmeyen mağdurları bu konuda bilgilendirmesi de dahildi.
Devlet, telekomünikasyon şirketinin milyonlarca mağduru doğru şekilde bilgilendirmemesinin ve elektronik bildirimden daha fazlasını kullanarak onları bilgilendirmemesinin onları risk altında bıraktığını söyledi. Davaya göre, “Müşteriler uygun şekilde bilgilendirilseydi, kredi takibi almak, dolandırıcılık uyarıları ayarlamak veya güvenliklerini dondurmak gibi kendilerini korumak için adımlar atabilirlerdi.”
“T-Mobile, ihlalin ciddiyetini küçümsemeye devam etti. Örneğin, T-Mobile’ın Şubat 2022’de yayınlanan hissedarlarına sunduğu 2021 Yıllık Raporunda T-Mobile, ihlalin ayrıntılarını detaylandırmak yerine ihlalde açığa çıkmayan şeyleri raporlamaya daha fazla zaman harcadı. o güne kadar karanlık ağda açığa çıkan ve kalan büyük miktarda kişisel bilgi.”
Beş Aylık İhlal
Davaya göre bilgisayar korsanları, 12 Ağustos 2021’de çıkarılıncaya kadar T-Mobile’ın altyapısına ilk kez Mart 2021’de sızdı. “Yeterli güvenlik denetiminin olmaması nedeniyle”, “T-Mobile, anonim bir dış kaynak şirkete müşterilerinin verilerinin karanlık ağda satışa sunulduğunu bildirene kadar ihlalden habersizdi.”
T-Mobile’ı ihlal ettiğini iddia eden kişi daha sonra Bilgi Güvenliği Medya Grubu’na 100’den fazla sunucuya erişim sağlamak ve 30 milyonu Sosyal Güvenlik dahil 100 milyondan fazla kişiye ait verileri çalmak için kaba kuvvet ve kimlik bilgisi doldurma saldırıları kullandıklarını söyledi. ve ehliyet numaraları. Çalınan bilgilerin tam bir kopyasının 6 bitcoin karşılığında, ardından 286.000 dolar değerinde ve Salı günü itibarıyla yaklaşık 600.000 dolar değerinde satışa sunulduğunu duyurdular.
“En basit ifadeyle, kötü aktör, test ortamlarımıza erişim sağlamak için özel araçlar ve yeteneklerin yanı sıra teknik sistemlere ilişkin bilgilerinden de yararlandı ve ardından müşterilerin de dahil olduğu diğer BT sunucularına ulaşmak için kaba kuvvet saldırıları ve diğer yöntemleri kullandı. Veriler” dedi o zamanki T-Mobile CEO’su Mike Sievert.
Saldırının takdiri, Telegram takma adı Anton Lyashevesky’yi ve aynı zamanda John Erin Binns ve “Irdev” adlarını da kullanan @Intelsecrets Twitter hesabını kullanan bir kişi tarafından hızla üstlenildi.
Mayıs 2024’te Türk kolluk kuvvetleri, Binns’i T-Mobile hack saldırısının arkasında olmakla suçlayan 12 maddelik ABD suç iddianamesine dayanarak tutukladı. Kasım 2024’te ABD, Binns ve Kanada uyruklu Connor Riley Moucka’yı, 165’ten fazla kuruluşu etkileyen ve yaklaşık 50 milyar çağrı ve metin kaydını içeren büyük bir ihlalde bulut platformu Snowflake’ten terabaytlarca veri çalmakla ve ayrıca “yaklaşık 50 milyar” tutarında şantaj yapmakla suçlayan bir iddianameyi açıkladı. Kurbanlardan Salı günü itibarıyla 3,6 milyon dolar değerinde en az 36 bitcoin” alındı.
ABD, geçen Kasım ayında Kanada polisi tarafından tutuklanan Binns ve Moucka’nın iadesini istiyor.
Siber Güvenlikte İyileşmenin İşaretleri
T-Mobile’ın siber güvenlik altyapısı artık daha sağlam temellere oturmuş olabilir. Kasım 2024’te T-Mobile, Salt Typhoon olarak takip edilen Çin ulus-devlet hack grubunun hedef aldığı telekomünikasyon şirketleri arasında olduğunu söyledi. Beyaz Saray, bilgisayar korsanlarının aralarında AT&T, Charter Communications, Consolidated Communications, Lumen Technologies ve Verizon Communications’ın da bulunduğu en az dokuz ABD telekomünikasyon şirketinin altyapısına başarıyla sızdığını söyledi. Bazı durumlarda saldırganlar çok miktarda meta verinin yanı sıra üst düzey hükümet ve siyasi yetkililerin dahil olduğu telefon görüşmelerini de çaldı.
T-Mobile vakasında şirket, soruşturmanın Salt Typhoon saldırganlarının tespit edilip atılmadan önce herhangi bir hassas müşteri bilgisini elde edemediğini tespit ettiğini söyledi.
“Basitçe söylemek gerekirse, saldırganların ilerlemesini önlemek ve daha da önemlisi hassas müşteri bilgilerine erişmelerini engellemek için katmanlı ağ tasarımımızdan güçlü izleme ve üçüncü taraf siber güvenlik uzmanlarıyla ortaklıklara ve hızlı yanıta kadar savunmalarımız tasarlandığı gibi çalıştı. ” dedi T-Mobile. “Diğer sağlayıcılar farklı sonuçlar görüyor olabilir.”