1. Puertoscanner en línea
  2. Últimas noticias y artículos sobre ciberseguridad
  3. Nueva Violación de T-Mobile Afecta a 37 Millones de Cuentas

Nueva Violación de T-Mobile Afecta a 37 Millones de Cuentas

T-Mobile hoy se reveló una violación de datos que afecta a decenas de millones de cuentas de clientes, su segunda exposición importante de datos en tantos años. En una presentación ante los reguladores federales, T-Mobile dijo que una investigación determinó que alguien abusó de sus sistemas para recolectar datos de suscriptores vinculados a aproximadamente 37 millones de cuentas de clientes actuales.

Imagen: customink.com

En una presentación hoy con el Comisión de Bolsa y Valores de los Estados Unidos, T-Mobile dijo que un "mal actor" abusó de una interfaz de programación de aplicaciones (API) para absorber datos en aproximadamente 37 millones de cuentas de clientes actuales de pospago y prepago. Los datos robados incluían el nombre del cliente, la dirección de facturación, el correo electrónico, el número de teléfono, la fecha de nacimiento, el número de cuenta de T-Mobile, así como información sobre la cantidad de líneas de clientes y las funciones del plan.

Las API son esencialmente instrucciones que permiten a las aplicaciones acceder a los datos e interactuar con las bases de datos web. Pero si no se protegen adecuadamente, estas API pueden ser aprovechadas por actores maliciosos para recolectar en masa la información almacenada en esas bases de datos. En octubre, el proveedor de telefonía móvil Optus reveló que los piratas informáticos abusaron de una API mal asegurada para robar datos de 10 millones de clientes en Australia.

T-Mobile dijo que se enteró del incidente por primera vez en enero. el 5 de noviembre de 2023, y que una investigación determinó que el mal actor comenzó a abusar de la API a partir de noviembre de 2023. 25, 2022. La compañía dice que está en proceso de notificar a los clientes afectados, y que no se expusieron datos de tarjetas de pago, contraseñas, números de Seguro Social, licencia de conducir u otros números de identificación del gobierno de los clientes.

En agosto de 2021, T-Mobile reconoció que los piratas informáticos se hicieron con los nombres, fechas de nacimiento, números de Seguro Social e información de licencia de conducir/identificación de más de 40 millones de clientes actuales, anteriores o potenciales que solicitaron crédito con la compañía. Esa brecha salió a la luz después de un hacker comenzó a vender los registros en un foro de delitos cibernéticos.

El año pasado, T-Mobile acordó pagar 5 500 millones para resolver todas las demandas colectivas derivadas de la violación de 2021. La compañía se comprometió a gastar 150 millones de dólares de ese dinero para reforzar su propia ciberseguridad.

En su presentación ante la SEC, T-Mobile sugirió que tomaría años darse cuenta de los beneficios de esas mejoras de ciberseguridad, incluso cuando afirmó que la protección de los datos de los clientes sigue siendo una prioridad.

"Como hemos revelado anteriormente, en 2021, comenzamos una inversión sustancial de varios años trabajando con expertos externos líderes en ciberseguridad para mejorar nuestras capacidades de ciberseguridad y transformar nuestro enfoque de la ciberseguridad", dice la presentación. "Hemos logrado un progreso sustancial hasta la fecha, y proteger los datos de nuestros clientes sigue siendo una prioridad.”

A pesar de que este es el segundo gran derrame de datos de clientes en tantos años, T-Mobile le dijo a la SEC que la compañía no espera que esta última violación tenga un impacto material en sus operaciones.

Si bien eso puede parecer algo atrevido de decir en una divulgación de violación de datos que afecta a una parte significativa de su base de clientes activos, considere que T-Mobile informar ingresos de casi0 20 mil millones solo en el tercer trimestre de 2022. En ese contexto, unos pocos cientos de millones de dólares cada dos años para hacer desaparecer a los abogados de acción colectiva es una gota en el balde.

El acuerdo relacionado con la violación de 2021 dice que T-Mobile pondrá 3 350 millones a disposición de los clientes que presenten un reclamo. Pero aquí está el truco: Si se vio afectado por esa violación de 2021 y no lo ha hecho presentó una reclamación todavía, por favor, sepa que solo tiene tres días más para hacerlo.

Si fuiste un cliente de T-Mobile afectado por el incidente de 2021, es probable que T-Mobile ya haya hecho varios esfuerzos para notificarte de tu elegibilidad para presentar un reclamo, que incluye un pago de al menos $25, con la posibilidad de más para aquellos que pueden documentar los costos directos asociados con la infracción. OpenClassActions.com dice que la fecha límite de presentación es enero. 23, 2023.

"Si optas por un pago en efectivo recibirá un estimado de 2 25.00", explica el sitio. "Si reside en California, recibirá un estimado de 1 100.00. Las pérdidas de bolsillo se pueden reembolsar hasta por $25,000.00. El administrador de la demanda colectiva determinará el monto que reclames a T-Mobile en función de cuántas personas presenten un formulario de reclamo legítimo y oportuno.”

Actualmente no hay señales de que los piratas informáticos estén vendiendo este último botín de datos de T-Mobile, pero si el pasado es cualquier maestro, gran parte de él terminará publicado en línea pronto. Es una apuesta segura que los estafadores usarán parte de esta información para dirigirse a los usuarios de T-Mobile con mensajes de phishing, apropiación de cuentas y acoso.

Los clientes de T — Mobile deben esperar ver a los phishers aprovechando la preocupación pública sobre la violación para hacerse pasar por la compañía, y posiblemente incluso enviar mensajes que incluyan los detalles de la cuenta comprometida del destinatario para que las comunicaciones parezcan más legítimas.

Los datos robados y expuestos en esta violación también pueden usarse para el robo de identidad. Los servicios de monitoreo de crédito y protección contra robo de identidad pueden ayudarlo a recuperarse de un robo de identidad, pero la mayoría no hará nada para evitar que ocurra el robo de identidad. Si desea tener el máximo control sobre quién debería poder ver su crédito u otorgar nuevas líneas de crédito a su nombre, entonces una congelación de seguridad es tu mejor opción.

Independientemente del proveedor de telefonía móvil que utilice, considere eliminar su número de teléfono de tantas cuentas en línea como pueda. Muchos servicios en línea requieren que proporcione un número de teléfono al registrar una cuenta, pero en muchos casos ese número puede eliminarse de su perfil después.

¿Por qué sugiero esto? Muchos servicios en línea permiten a los usuarios restablecer sus contraseñas simplemente haciendo clic en un enlace enviado por SMS, y esta práctica desafortunadamente generalizada ha convertir los números de teléfono móvil en documentos de identidad de facto. Lo que significa perder el control sobre su número de teléfono gracias a un puerto de salida de número móvil o intercambio de SIM no autorizado el divorcio, la terminación del trabajo o la crisis financiera pueden ser devastadores.



>>Más