Dün, mobil dev T-Mobile, 26 Kasım’da başlayan ve hem ön ödemeli hem de sonradan ödemeli hesaplardaki 37 milyon mevcut müşteriyi etkileyen bir veri ihlali yaşadığını söyledi. Şirket, bir ABD Menkul Kıymetler ve Borsa Komisyonu dosyasında, “kötü bir aktörün” müşterilerin adlarını, e-posta adreslerini, telefon numaralarını, fatura adreslerini, doğum tarihlerini, hesap numaralarını çalmak için şirketin uygulama programlama arayüzlerinden (API’ler) birini manipüle ettiğini söyledi. ve hizmet planı ayrıntıları. İlk izinsiz giriş Kasım ayının sonunda gerçekleşti ve T-Mobile etkinliği 5 Ocak’ta keşfetti.
T-Mobile, ABD’nin en büyük mobil operatörlerinden biridir ve 100 milyondan fazla müşterisi olduğu tahmin edilmektedir. Ancak son 10 yılda şirket, diğer güvenlik olaylarının yanı sıra tekrarlanan veri ihlallerine maruz kalmasıyla ün kazandı. Şirket 2021’de mega bir ihlal, 2020’de iki, 2019’da bir ve 2018’de bir başka ihlal yaşadı. Çoğu büyük şirket dijital güvenlikle mücadele ediyor ve hiç kimse veri ihlallerinden muaf değil, ancak T-Mobile şu şirketlere yaklaşıyor gibi görünüyor: Tekrarlanan tavizlerin panteonunda Yahoo.
Güvenlik firması Sophos’ta uygulamalı araştırmadan sorumlu saha baş teknik sorumlusu Chester Wisniewski, “Yaşadıkları kadar çok ihlalden sonra hala sızdıran gemilerini destekleyemediklerini duyduğuma kesinlikle hayal kırıklığına uğradım” diyor. . “Suçluların T-Mobile’da olması da endişe verici. [system] keşfedilmeden önce bir aydan fazla. Bu, T-Mobile’ın savunmasının, bir mobil ağ operatörü gibi büyük bir kuruluşta bulmayı bekleyebileceğiniz gibi, modern güvenlik izleme ve tehdit avlama ekiplerini kullanmadığını gösteriyor.”
API’deki (iki yazılım programı arasındaki iletişimi kolaylaştıran bir arabirim) sınırlamalar nedeniyle, saldırgan Sosyal Güvenlik numaralarına veya vergi kimliklerine, sürücü belgesi verilerine, şifrelere ve PIN’lere veya ödeme kartı verileri gibi finansal bilgilere erişim sağlamadı. Ancak bu tür veriler, Ağustos 2021’deki bir ihlal de dahil olmak üzere yakın tarihli diğer T-Mobile ihlallerinde ele geçirildi. Temmuz 2022’de T-Mobile, müşterilere 350 milyon $’ı içeren bir anlaşmada bu ihlalle ilgili bir toplu davayı çözmeyi kabul etti. O sırada şirket, dijital güvenliğini ve veri savunmasını iyileştirmek için iki yıllık, 150 milyon dolarlık bir girişimde bulunma taahhüdünde bulundu.
WIRED’den gelen çok sayıda yorum talebine yanıt vermeyen T-Mobile, SEC açıklamasında 2021’de “siber güvenlik yeteneklerimizi geliştirmek ve yaklaşımımızı dönüştürmek için önde gelen harici siber güvenlik uzmanlarıyla çalışarak çok yıllı önemli bir yatırıma başladık. siber güvenlik. Bugüne kadar önemli ilerleme kaydettik ve müşterilerimizin verilerini korumak en büyük önceliğimiz olmaya devam ediyor.”
Şirketin ABD’deki müşterilerinin yaklaşık üçte birinin verilerini ifşa eden son olay göz önüne alındığında, bunun yeterli olmadığı açıkça görülüyor.
“T-Mobile bunlardan kaç tanesine sahip olmak zorunda?” Uygulamalı Ağ Güvenliği Enstitüsü’nde uzun süredir olay müdahale uzmanı ve analist olan Jake Williams merak etti. “API güvenliği, insanların gerçekten odaklandığı bir şey olmaya başlıyor, bu bir hataydı. API suistimalini tespit etmek, özellikle tehdit aktörü düşük ve yavaş hareket ediyorsa kolay değildir. Genel olarak bunlardan fark edilmeyen çok sayıda olduğundan şüpheleniyorum. Ancak sonuç olarak, T-Mobile’ın API güvenliğinin açıkça üzerinde çalışılması gerekiyor. Altı haftadan uzun bir süre toplu API kötüye kullanımı yaşamamalısınız.”