T-Mobile, Kasım ayında tek bir uygulama programlama arabiriminin (API) ele geçirilmesinin sonucu olarak meydana gelen yeni ve çok büyük bir ihlali açıkladı. Sonuç? 37 milyondan fazla ön ödemeli ve faturalı müşteri hesabının kişisel verilerinin ifşa edilmesi.
Takip edenler için, bu son ifşa, iki yıl içindeki ikinci genişleyen T-Mobile veri ihlaline ve son beş yılda yarım düzineden fazla veri ihlaline işaret ediyor.
Ve pahalı oldular.
Geçen Kasım ayında, T-Mobile, Massachusetts başsavcısı tarafından 2015 veri ihlali nedeniyle 2,5 milyon dolar para cezasına çarptırıldı. Başka bir 2021 veri sızıntısı, taşıyıcıya 500 milyon dolara mal oldu; Etkilenen müşterilere 350 milyon dolarlık ödeme yapıldı ve 2023’e kadar güvenliğin yükseltilmesi için 150 milyon dolar daha taahhüt edildi.
Şimdi telekom devi başka bir siber güvenlik olayına saplandı.
T-Mobile’ın Siber Güvenlik Snafu’su
Geçmişteki, şimdiki ve gelecekteki 54 milyon T-Mobile müşterisine yönelik 2021 ihlalinin arkasında olduğunu iddia eden tehdit aktörü John Binns, Wall Street Journal’a verdiği bir röportajda T-Mobile’ın “korkunç” güvenliğinin işini kolaylaştırdığını söyleyerek övündü.
Ancak Darktrace ile kırmızı ekip operasyonlarından sorumlu kıdemli başkan yardımcısı Justin Fier, Dark Reading’e, T-Mobile’ınki gibi bir altyapının tüm saldırı yüzeyini kapsamanın zor olduğu anlamına geldiğini ve bu da sistemlerini desteklemek için özellikle karmaşık hale getirdiğini söylüyor.
Fier, “Çoğu büyük marka gibi, T-Mobile’ın da çok karmaşık ve genişleyen bir dijital mülkü var” diye açıklıyor. “Bu mülkün her yönüyle ilgili görünürlük elde etmek ve verileri anlamlandırmak gün geçtikçe zorlaşıyor, bu nedenle firmaların bu rolü yerine getirmek için teknolojiye giderek daha fazla eğildiğini görüyoruz.”
Ancak, güvenlik açığı bulunan bir API’yi ihlal etmenin bir saldırgan açısından fazla teknik bilgi gerektirmediğini de ekliyor.
Zayıf API güvenliğinin yanı sıra, Critical Insight’tan Mike Hamilton CISO, Dark Reading’e bu son uzlaşmanın aynı zamanda ağ görünürlüğü ve anormal davranışları tespit etme yeteneği eksikliğini gösterdiğini söylüyor.
“Ayrıntılar yetersiz ve durdurulmadan önce yaklaşık 10 gün boyunca verilere erişimi olduğu anlaşılan “kötü aktör” hakkında herhangi bir atıf yapılmadı” diyor Hamilton.
T-Mobile’ın Sıradaki Düzenleyici Maçı
T-Mobile, siber güvenlik olayının ifşasında çalınan hesap bilgilerini önemsizmiş gibi göstererek, verilerin “temel” ve “pazarlama veritabanlarında yaygın olarak mevcut” olduğunu ekledi. Hamilton, müşterileri üzerindeki etkinin göz ardı edilmesi gibi görünse de, bu ayrımın şirketi devlet düzenleyicilerinden koruyabileceğini de ekliyor.
Hamilton, “Gerçek değeri çok az olsa da, veriler toplu olarak satılarak paraya çevrilebilir” diyor. “Hırsızlıktaki verilerin çoğu kamuya açık kaynaklarda bulunabilir ve CCPA (California Tüketici Gizliliği Yasası) gibi eyalet gizlilik yasalarından yasal işlem yapılmasına neden olması pek olası değildir.”
Ancak NextDLP’nin CISO’su Tim Cope, Dark Reading’e, T-Mo’nun Avrupa’da GDPR ve İngiltere’deki Bilgi Komisyonu Ofisi (ICO) düzenleyicileriyle daha fazla sorun yaşayabileceğini açıklıyor. Bunun gibi cezalar, nihayetinde gerekli siber güvenlik korumalarına yatırımı yönlendirecektir, diye ekliyor.
Cope, “ICO ve GDPR’nin düzenleyici gözetimi, umarız bu gizlilik ihlallerinin yanı sıra büyük bir dizi para cezası getirmeli,” diyor ve “bu da API’leri mevcut ve güncel olanlara karşı korumak için daha iyi kontroller oluşturmaya yardımcı olmak için güvenlik ekiplerine daha fazla yatırım yapmalıdır” diyor. Gelecekteki saldırılar.”