T-Mobile’ın siber güvenlik konularındaki itibarı, telekomünikasyon veya genel olarak işletmelerde birkaç bariz karşılaştırmayla, tekrar tekrar ve ölçek ve tempoda teste tabi tutuluyor.
Şirket, Ağustos 2021’deki büyük bir veri ihlalinin ardından güvenlik duruşunu iyileştirmeyi ve veri gizliliği ile ilgili teknolojilere yaptığı yatırımları artırmayı taahhüt etti, ancak bu, geçen Şükran Günü’nün ertesi günü meydana gelen bir izinsiz girişi engellemeye yetmedi.
T-Mobile Perşembe günü, 5 Ocak’ta müşteri hesap verilerine erişmek için bir uygulama programlama arabirimi kullanan bir tehdit aktörü tespit ettiğini ve “24 saat içinde kapattığını” söyledi, ancak 37 milyon müşterinin kayıtları ele geçirilmeden önce değil.
Uzmanların güvenlik ekiplerini yüksek alarmda olmaları konusunda uyardığı tatil sezonundaki günlerden biri olan Kara Cuma günü meydana gelen bir uzlaşma olan kötü niyetli etkinlik, 41 gün boyunca tespit edilmedi.
Analistlere göre, T-Mobile’da tekrarlanan güvenlik açıkları bir model gösteriyor. Taşıyıcı, 15 ayda iki büyük güvenlik ihlaliyle sarsıldı, ancak son beş yılda en az altı başka güvenlik olayının eklenmesi, güvenlik yatırımları ve sonuçları arasında bir uyumsuzluk olduğunu gösteriyor.
Dell’Oro Group’ta ağ güvenliği araştırma direktörü Mauricio Sanchez, e-posta yoluyla “Bir yıldan biraz daha uzun bir süre içinde iki kez saldırıya uğramak oldukça korkunç” dedi. “Bir dizi bilgisayar korsanlığı ve önemli cezadan sonra bunun T-Mobile’ın oyununu yükseltmesine yol açacağı düşünülebilir, ancak öyle olmadığı oldukça açık.”
T-Mobile daha fazla yorum talebini reddetti.
İhlaller ihlalleri doğurur
En son olay, T-Mobile’ın 2018’den bu yana kamuoyu tarafından kabul edilen sekizinci veri ihlaline işaret ediyor. ZK Research’ün kurucusu ve baş analisti Zeus Kerravala, “Bu konudaki aciliyetsizlikleri hakkında bilmeniz gereken tek şey bu,” dedi.
Kerravala, “Açıkça diğer taşıyıcıların arkasındalar ve bu döngüsel bir sorun haline geliyor” dedi. “İhlal edilmesi daha kolay göründüğü için bilgisayar korsanları bunlara odaklanarak daha fazla ihlale neden olacak.”
Birden çok analiste göre, tehdit aktörünün ilk izinsiz girişi ile T-Mobile’ın tespiti arasındaki boşluk, mobil ağ operatörü için çözülmemiş birden çok soruna bağlanabilir.
Sanchez, “Özellikle son saldırı dizisinden sonra daha iyisini yapma sözü verildikten sonra, bazı ciddi başarısızlıklara işaret ediyor” dedi.
Kerravala, T-Mobile’ın kötü niyetli faaliyetleri görememesinin “en büyük sorun” olduğunu söyledi.
İhlaller olur, bunu herkes bilir” dedi. Ancak tüm işi kendi ağlarına bağlı olan T-Mobile gibi bir şirket, bir ihlale işaret edebilecek anormal trafiği neredeyse gerçek zamanlı olarak görebilmelidir.”
İzinsiz giriş, yaygın API güvenlik zorluklarını vurgular
T-Mobile, tehdit aktörü tarafından istismar edilen API ile ilgili ayrıntıları paylaşmadı, ancak hangi amaca hizmet ettiğini, nerede açığa çıktığını ve neden müşterilerin PII’sine erişimi olduğunu bilmek önemlidir.
Darktrace kırmızı ekip operasyonlarından sorumlu Kıdemli Başkan Yardımcısı Justin Fier e-posta yoluyla, “Hiçbir API mükemmel değildir ve API kimlik bilgileri yönetimiyle ilgili sorunlar bugünlerde oldukça yaygın,” dedi.
Fier, “T-Mobile saldırısındaki API’nin ne için kullanıldığı belirsiz olsa da, harici bir API’nin bu miktardaki hassas PII’ye erişmesi endişe verici olacaktır” dedi.
Open Web Application Security Project’e göre en yaygın olarak API veri ihlalleriyle ilişkilendirilen saldırı senaryoları şunları içerir:
- Bozuk erişim kontrolü
- güvensiz tasarım
- Güvenlik yanlış yapılandırması
- Kimlik ve kimlik doğrulama hataları
- Günlüğe kaydetme ve izleme hataları
Uyumsuz öncelikler işletmeleri tehlikeye atıyor
Kuruluşların karşılaştığı baskın zorluk, güvenliği ciddiye alma konusundaki yetersizlik değildir.
Nicoll Associates’in kıdemli baş analisti Chris Nicoll, “Sorun şu ki, güvenlik bu şirketler için birincil odak noktası değil, saldırganlar için birincil odak noktası” dedi.
“[Threat actors] tüm zamanlarını saldırılarını tasarlamak ve uyarlamak için harcarlar. Bu, T-Mobile gibi şirketlerin bir saldırı meydana geldiğinde paçayı sıyırması gerektiği anlamına gelmiyor” dedi.
Nicoll, kötü niyetli aktörlerin “faaliyetlerini gizleme konusunda usta” olduklarını ve sistemlerini izleme ve yönetme konusunda daha gayretli olmanın T-Mobile’ın görevi olduğunu söyledi.
Analistler, Cybersecurity Dive’a, bir mali ceza ve potansiyel düzenleyici eylemler dışında, bu son olayın ardından T-Mobile’ın gerilemelerinin minimum düzeyde olacağını söylüyor.
Tipik olarak güvenlik ihlallerine uygulanan yorgunluk ve soyut kavramlar, T-Mobile için sonuçları da azaltabilir.
Ancak Kerravala, T-Mobile müşterilerinin dikkatli olması gerektiğini söyledi. “Hızla dijitalleşen dünyada cep telefonu artık hayatımızın kontrol noktası. Cep telefonu operatörünüze güvenemiyorsanız, bu çok büyük bir sorun.”