T-Mobile, одна из крупнейших телекоммуникационных компаний в США, была взломана почти две недели назад, в результате чего была раскрыта конфиденциальная информация более чем 50 миллионов нынешних, бывших и потенциальных клиентов.
Имена, адреса, Номера социального страхования, водительские права и информация об удостоверениях личности примерно 48 миллионов человек были доступны в ходе взлома, о котором впервые стало известно 16 августа.
Вот все, что мы знаем на данный момент.
Содержание статьи
- 1 Что такое T-Mobile?
- 2 Сколько людей пострадали от взломать?
- 3 Кто напал на T-Mobile?
- 4 Как произошло нападение?
- 5 Почему Биннс сделал это?
- 6 Был ли Биннс один проводил атаку?
- 7 Когда T-Mobile обнаружила атаку?
- 8 Причастны ли правоохранительные органы?
- 9 Что делает T-Mobile со взломом?
- 10 Случалось ли подобное раньше с T-Mobile?
- 11 Что происходит теперь?
Что такое T-Mobile?
T-Mobile — дочерняя компания немецкой телекоммуникационной компании Deutsche Telekom AG, предоставляющая услуги беспроводной передачи голоса, сообщений и данных клиентам в десятках стран.
В США у компании более 104 миллионов клиентов, и она стала второй по величине телекоммуникационной компанией после Verizon после слияния со Sprint в 2018 году на сумму 26 миллиардов долларов.
Сколько людей пострадали от взломать?
T-Mobile опубликовал заявление на прошлой неделе, подтверждающее, что имена, даты рождения, номера социального страхования, водительские права, номера телефонов, а также информация IMEI и IMSI были украдены у примерно 7,8 миллионов клиентов.
У еще 40 миллионов бывших или потенциальных клиентов просочились имена, даты рождения, номера социального страхования и водительские права.
Более чем к 5 миллионам «текущих счетов клиентов с постоплатой» также был незаконно получен доступ к такой информации, как имена, адреса, дата рождения, номера телефонов, IMEI и IMSI.
T-Mobile сообщила, что информация о других 667 000 учетных записях бывших клиентов T-Mobile была украдена вместе с группой из 850 000 активных предоплаченных клиентов T-Mobile, чьи имена, номера телефонов и PIN-коды были раскрыты.
По данным T-Mobile, также могли быть получены имена 52 000 человек с аккаунтами Metro через T-Mobile.
Кто напал на T-Mobile?
21-летний гражданин США по имени Джон Биннс рассказал Wall Street Journal и Алону Галу, соучредителю фирмы Hudson Rock, занимающейся разведкой киберпреступлений. , что он главный виновник нападения.
Его отец, умерший, когда ему было два года, был американцем, а мать — турчанкой. Он и его мать вернулись в Турцию, когда Биннсу было 18 лет.
Как произошло нападение?
Биннс, который родился в США, но сейчас живет в Измире, Турция, сказал, что проводил нападение из его дома. Через Telegram Биннс предоставил Wall Street Journal доказательства, подтверждающие, что он стоит за атакой T-Mobile, и сообщил журналистам, что первоначально он получил доступ к сети T-Mobile через незащищенный маршрутизатор в июле.
Согласно Wall Street Journal, он искал бреши в защите T-Mobile через его интернет-адреса и получил доступ к центру обработки данных недалеко от Ист-Уэнатчи, штат Вашингтон, где он мог изучить более 100 объектов компании. серверы. После этого потребовалось около недели, чтобы получить доступ к серверам, содержащим личные данные миллионов. К 4 августа он украл миллионы файлов.
«Я запаниковал, потому что у меня был доступ к чему-то важному. Их безопасность ужасна», — сказал Биннс в интервью Wall Street Journal. «Создание шума было одной из целей».
Биннс также поговорил с Motherboard и Bleeping Computer, чтобы объяснить некоторую динамику атаки.
Он сказал Bleeping Computer, что получил доступ к системам T-Mobile через «производственные, промежуточные и серверы разработки две недели назад». Он взломал сервер базы данных Oracle, внутри которого хранились данные клиентов.
Чтобы доказать, что это было на самом деле, Биннс поделился снимком экрана своего SSH-соединения с производственным сервером, на котором работает Oracle, с репортерами из Bleeping Computer. Они не пытались выкупить T-Mobile, потому что у них уже были покупатели в Интернете, согласно их интервью новостному агентству.
В своем интервью Motherboard он сказал, что украл данные с серверов T-Mobile и что T-Mobile удалось в конечном итоге выгнать его с взломанных серверов, но не раньше, чем были сделаны копии данных.
По данным Motherboard и Bleeping Computer, на подпольном форуме Биннс и другие люди продавали образец данных с 30 миллионами номеров социального страхования и водительскими правами на 6 биткойнов.
Генеральный директор T-Mobile Майк Зиверт объяснил, что хакер, стоящий за атакой, «использовал свои знания технических систем, а также специализированные инструменты и возможности, чтобы получить доступ к нашей тестовой среде, а затем использовал атаки грубой силы и другие методы. проникнуть на другие ИТ-серверы, на которых хранятся данные клиентов ».
«Короче говоря, намерением этого человека было взломать и украсть данные, и им это удалось», — сказал Сиверт.
Биннс утверждал, что украл 106 ГБ данных, но неясно, правда ли это. .
Почему Биннс сделал это?
21-летний уроженец Вирджинии сообщил Wall Street Journal и другим СМИ, что он стал жертвой правоохранительных органов США за его предполагаемое участие в Заговор сатори ботнета.
Он утверждает, что агентства США похитили его в Германии и Турции и пытали. В ноябре Биннс подал иск в окружной суд против ФБР, ЦРУ и Министерства юстиции, где, по его словам, в отношении него ведется расследование по различным киберпреступлениям и по обвинению в принадлежности к группе боевиков Исламского государства — обвинение, которое он отрицает.
«У меня нет причин придумывать фальшивую историю о похищении, и я надеюсь, что кто-то в ФБР утечет информацию об этом», — пояснил он в своих сообщениях Wall Street Journal.
Иск включает в себя Биннс утверждает, что ЦРУ ворвалось в его дома и прослушивало его компьютеры в рамках более крупного расследования предполагаемых киберпреступлений. Он подал иск в Окружной суд Вашингтона.
Прежде чем его официально опознали, Биннс отправил Галу сообщение, которое было опубликовано в Твиттере.
«Взлом был совершен в ответ на США за похищение и пытки Джона Эрин Биннса (ЦРУ Ворон-1) в Германии агентами ЦРУ и турецкой разведки в 2019 году. Мы сделали это, чтобы нанести ущерб инфраструктуре США, "В сообщении говорилось, по словам Гал.
Был ли Биннс один проводил атаку?
Он не подтвердил, были ли украденные данные уже проданы или кто-то другой заплатил ему за взлом в T-Mobile в своем интервью The Wall Street Journal.
Хотя Биннс прямо не сказал, что работал с другими над атакой, он признал, что ему нужна была помощь в получении учетных данных для входа в базы данных в системах T-Mobile.
Некоторые новостные агентства сообщили что Биннс был не единственным человеком, продавшим украденные данные T-Mobile.
Когда T-Mobile обнаружила атаку?
В статье Wall Street Journal отмечалось, что T-Mobile была первоначально уведомлена о взломе компанией по кибербезопасности Unit221B LLC, которая сообщила данные своих клиентов продавался в даркнете.
T-Mobile сообщила ZDNet 16 августа, что расследует первоначальные утверждения о продаже данных клиентов в даркнете, и в конечном итоге выпустила длинное заявление, поясняющее, что, хотя во взломе были задействованы не все 100 миллионов их клиентов. По крайней мере, половина клиентов использовала свою информацию для взлома.
Причастны ли правоохранительные органы?
Генеральный директор T-Mobile Майк Зиверт сказал 27 августа, что не может поделиться дополнительной информацией о технических деталях атаки, поскольку они «активно координируют свои действия с правоохранительными органами. по уголовному делу ".
Неясно, какие агентства работают над этим делом, и T-Mobile не ответила на вопросы по этому поводу.
Что делает T-Mobile со взломом?
Зиверт объяснил, что компания наняла Mandiant для проведения расследования инцидента.
«На сегодняшний день у нас есть уведомил практически каждого текущего клиента T-Mobile или основного владельца учетной записи, у которого были скомпрометированы такие данные, как имя и текущий адрес, номер социального страхования или государственный идентификационный номер », — сказал он в заявлении
T-Mobile также будет разместить баннер на странице входа в учетную запись MyT-Mobile.com для других пользователей, чтобы сообщить им, не пострадали ли они от атаки.
Зиверт признал, что компания все еще находится в процессе уведомления бывших и потенциальных клиентов, информация миллионов из которых также была украдена.
В дополнение к предложению услуг McAfee по защите от кражи личных данных всего на два года, T-Mobile заявила, что рекомендует клиентам подписаться на «бесплатную защиту от мошенничества T-Mobile с помощью Scam Shield».
Компания также будет предлагать «Защиту от захвата счетов» для клиентов, получающих оплату по факту, что, по их словам, затруднит мошеннический перенос и кражу счетов клиентов. Они также призвали клиентов сбросить все пароли и ПИН-коды.
Зиверт также объявил, что T-Mobile подписала «долгосрочное партнерство» с Mandiant и KPMG LLG, чтобы усилить их кибербезопасность и дать телекоммуникационному гиганту «огневую мощь», необходимую для повышения их способности защищать клиентов от киберпреступников. .
«Как я ранее упоминал, Mandiant участвует в нашем судебном расследовании с самого начала инцидента, и теперь мы расширяем наши отношения, чтобы использовать опыт, который они получили на передовой в крупных … масштабировать утечки данных и использовать свои масштабируемые решения безопасности, чтобы стать более устойчивыми к будущим киберугрозам », — добавил Зиверт.
«Они будут поддерживать нас в разработке краткосрочного и долгосрочного стратегического плана по снижению и стабилизации рисков кибербезопасности на нашем предприятии. Одновременно мы сотрудничаем с консалтинговой фирмой KPMG, признанным мировым лидером в области консалтинга в области кибербезопасности. Команда KPMG по кибербезопасности поделится своим глубоким опытом и междисциплинарным подходом для проведения тщательного анализа всех политик безопасности T-Mobile и измерения производительности. Они сосредоточатся на средствах управления для выявления пробелов и областей, требующих улучшения ».
И Mandiant, и KPMG будут работать вместе, чтобы разработать план для T-Mobile по устранению пробелов в кибербезопасности в будущем.
Случалось ли подобное раньше с T-Mobile?
Ни одна атака такого масштаба раньше не поражала T-Mobile, но компания подвергалась атакам несколько раз.
Перед атакой две недели назад компания объявила о четырех утечках данных за последние три года. Компания раскрыла нарушение в январе после инцидентов в августе 2018 года, ноябре 2019 года и марте 2020 года.
Расследование январского инцидента показало, что хакеры получили доступ к примерно 200 000 информации о клиентах, такой как номера телефонов, количество абонентских линий. к учетной записи и, в некоторых случаях, информацию, связанную с вызовами, которую T-Mobile сообщила, что она собрала в рамках нормальной работы своей беспроводной службы.
Предыдущие нарушения включали инцидент в марте 2020 года, когда T- Mobile заявила, что хакеры получили доступ к данным как ее сотрудников, так и клиентов, включая учетные записи электронной почты сотрудников, инцидент в ноябре 2019 года, когда T-Mobile заявила, что «обнаружила и отключила» несанкционированный доступ к личным данным своих клиентов, и август 2018 года. инцидент, когда T-Mobile заявила, что хакеры получили доступ к личным данным 2 миллионов ее клиентов.
До того, как компания Sprint объединилась с T-Mobile в 2020 году, Sprint также раскрыла два нарушения безопасности в 2019 году как w элл, один в мае, а второй в июле.
Что происходит теперь?
Биннс не сказал, продал ли он украденные данные, но сказал Bleeping Computer, что их уже было несколько потенциальные покупатели.