T mobil bugün, on milyonlarca müşteri hesabını etkileyen bir veri ihlalini açıkladı; bu, uzun yıllardır ikinci büyük veri ifşası. T-Mobile, federal düzenleyicilere yaptığı bir dosyada, bir soruşturmanın birisinin yaklaşık 37 milyon mevcut müşteri hesabına bağlı abone verilerini toplamak için sistemlerini kötüye kullandığını belirlediğini söyledi.
Resim: customink.com
Bugün bir dosyalamada ABD Güvenlik ve Değişim Komisyonu, T-Mobile, “kötü bir aktörün” yaklaşık 37 milyon mevcut faturalı ve ön ödemeli müşteri hesabındaki verileri çalmak için bir uygulama programlama arayüzünü (API) kötüye kullandığını söyledi. Çalınan veriler arasında müşteri adı, fatura adresi, e-posta, telefon numarası, doğum tarihi, T-Mobile hesap numarası, müşteri hattı sayısı ve plan özellikleri bilgileri yer alıyor.
API’ler, esasen uygulamaların verilere erişmesine ve web veritabanlarıyla etkileşime girmesine izin veren talimatlardır. Ancak uygun şekilde güvenli bırakılmadığında, bu API’ler kötü niyetli aktörler tarafından bu veritabanlarında depolanan bilgileri toplu olarak toplamak için kullanılabilir. Ekim ayında mobil sağlayıcı Optus bilgisayar korsanlarının Avustralya’daki 10 milyon müşteriden veri çalmak için güvenliği düşük bir API’yi kötüye kullandığını açıkladı.
Şirket, olayı ilk olarak 5 Ocak 2022’de öğrendiğini ve bir soruşturmanın kötü oyuncunun 25 Kasım 2022’den itibaren API’yi kötüye kullanmaya başladığını belirlediğini söyledi.
T-Mobile, etkilenen müşterileri bilgilendirme sürecinde olduğunu ve hiçbir müşterinin ödeme kartı verilerinin, şifrelerinin, Sosyal Güvenlik numaralarının, ehliyet veya diğer devlet kimlik numaralarının ifşa edilmediğini söylüyor.
Ağustos 2021’de T-Mobile, bilgisayar korsanlarının şirkete kredi başvurusunda bulunan 40 milyondan fazla mevcut, eski veya potansiyel müşterinin adlarını, doğum tarihlerini, Sosyal Güvenlik numaralarını ve ehliyet/kimlik bilgilerini çaldığını kabul etti. Bu ihlal, bir bilgisayar korsanının kayıtları bir siber suç forumunda satmaya başlamasıyla ortaya çıktı.
Geçen yıl T-Mobile, 2021 ihlalinden kaynaklanan tüm toplu davaları çözmek için 500 milyon dolar ödemeyi kabul etti. Şirket, bu paranın 150 milyon dolarını kendi siber güvenliğini güçlendirmek için harcama sözü verdi.
T-Mobile, SEC’e yaptığı başvuruda, müşteri verilerini korumanın en önemli öncelik olmaya devam ettiğini iddia etmesine rağmen, bu siber güvenlik iyileştirmelerinin faydalarını tam olarak gerçekleştirmenin yıllar alacağını öne sürdü.
Dosyada, “Daha önce açıkladığımız gibi, 2021’de siber güvenlik yeteneklerimizi geliştirmek ve siber güvenliğe yaklaşımımızı dönüştürmek için önde gelen harici siber güvenlik uzmanlarıyla çalışarak çok yıllı önemli bir yatırıma başladık.” “Bugüne kadar önemli ilerleme kaydettik ve müşterilerimizin verilerini korumak en büyük önceliğimiz olmaya devam ediyor.”
Bu, son yıllardaki ikinci büyük müşteri verisi sızıntısı olmasına rağmen, T-Mobile SEC’e şirketin bu son ihlalin operasyonları üzerinde önemli bir etkisi olmasını beklemediğini söyledi.
Aktif müşteri tabanınızın önemli bir bölümünü etkileyen bir veri ihlali ifşasında bunu söylemek cüretkar bir şey gibi görünse de, T-Mobile’ın Yalnızca 2022’nin üçüncü çeyreğinde yaklaşık 20 milyar dolar. Bu bağlamda, toplu dava avukatlarını ortadan kaldırmak için birkaç yılda bir birkaç yüz milyon dolar kovada bir damladır.
2021 ihlaliyle ilgili anlaşma, T-Mobile’ın talepte bulunan müşterilere 350 milyon dolar sağlayacağını söylüyor. Ancak işin püf noktası şu: 2021 ihlalinden etkilendiyseniz ve henüz bir hak talebinde bulunmadıysanız, lütfen bunu yapmak için yalnızca üç gününüz olduğunu bilin.
2021 olayından etkilenen bir T-Mobile müşterisiyseniz, T-Mobile’ın size en az 25 ABD Doları tutarında bir ödemeyi içeren bir hak talebinde bulunmaya uygun olduğunuzu bildirmek için zaten birkaç çaba sarf etmiş olması muhtemeldir. ihlalle ilişkili doğrudan maliyetleri belgeleyebilenler için daha fazlası. OpenClassActions.com son başvuru tarihinin 23 Ocak 2023 olduğunu söylüyor.
“Eğer bir nakit ödeme tahmini olarak 25,00 $ alacaksınız, ”diye açıklıyor site. “Kaliforniya’da ikamet ediyorsanız, tahmini olarak 100,00 ABD Doları alacaksınız. Cepten kayıplar 25.000,00 $’a kadar geri ödenebilir. T-Mobile’dan talep ettiğiniz miktar, kaç kişinin meşru ve zamanında talep formu doldurduğuna bağlı olarak toplu dava yöneticisi tarafından belirlenecektir.”
Şu anda bilgisayar korsanlarının T-Mobile’dan gelen bu en son veri akışını sattığına dair hiçbir işaret yok, ancak geçmiş herhangi bir öğretmense, bunların çoğu yakında çevrimiçi olarak yayınlanacak. Dolandırıcıların bu bilgilerin bir kısmını kimlik avı mesajları, hesap ele geçirme ve taciz ile T-Mobile kullanıcılarını hedeflemek için kullanacağı kesindir.
T-Mobile müşterileri, kimlik avcılarının şirketin kimliğine bürünmek için ihlal konusundaki kamuoyu endişesinden yararlandığını ve hatta iletişimin daha meşru görünmesini sağlamak için alıcının güvenliği ihlal edilmiş hesap ayrıntılarını içeren mesajlar gönderdiğini tamamen beklemelidir.
Bu ihlalde çalınan ve açığa çıkan veriler, kimlik hırsızlığı için de kullanılabilir. Kredi izleme ve kimlik hırsızlığı koruması hizmetleri, kimliğinizin çalınmasından kurtulmanıza yardımcı olabilir, ancak çoğu, kimlik hırsızlığının olmasını durdurmak için hiçbir şey yapmaz. Kredinizi kimlerin görebileceği veya sizin adınıza yeni kredi limitleri verebileceği konusunda maksimum kontrole sahip olmak istiyorsanız, güvenlik dondurma en iyi seçeneğinizdir.
Hangi cep telefonu sağlayıcısından destek alıyor olursanız olun, lütfen telefon numaranızı mümkün olduğu kadar çok sayıda çevrimiçi hesaptan kaldırmayı düşünün. Birçok çevrimiçi hizmet, bir hesaba kaydolurken bir telefon numarası vermenizi gerektirir, ancak çoğu durumda bu numara daha sonra profilinizden kaldırılabilir.
Bunu neden öneriyorum? Birçok çevrimiçi hizmet, kullanıcıların yalnızca SMS yoluyla gönderilen bir bağlantıya tıklayarak şifrelerini sıfırlamasına olanak tanır ve maalesef yaygın olan bu uygulama, cep telefonu numaralarını fiili kimlik belgesine dönüştürmüştür. Bu, izinsiz bir SIM takası veya cep telefonu numarası taşıma, boşanma, iş akdinin feshi veya mali kriz nedeniyle telefon numaranızın kontrolünü kaybetmeniz anlamına gelir.