1. Portscanner en ligne
  2. Dernières nouvelles et articles sur la cybersécurité
  3. Une Nouvelle Violation De T-Mobile Affecte 37 Millions De Comptes

Une Nouvelle Violation De T-Mobile Affecte 37 Millions De Comptes

Téléphone mobile a révélé aujourd'hui une violation de données affectant des dizaines de millions de comptes clients, sa deuxième exposition majeure de données en autant d'années. Dans un dépôt auprès des régulateurs fédéraux, T-Mobile a déclaré qu'une enquête avait déterminé que quelqu'un avait abusé de ses systèmes pour récolter des données d'abonnés liées à environ 37 millions de comptes clients actuels.

Image: customink.com

Dans un dépôt aujourd'hui avec le Commission des valeurs mobilières des États-Unis, T-Mobile a déclaré qu'un “mauvais acteur” avait abusé d'une interface de programmation d'applications (API) pour aspirer des données sur environ 37 millions de comptes clients postpayés et prépayés actuels. Les données volées comprenaient le nom du client, l'adresse de facturation, l'e-mail, le numéro de téléphone, la date de naissance, le numéro de compte T-Mobile, ainsi que des informations sur le nombre de lignes client et les fonctionnalités du forfait.

Les API sont essentiellement des instructions qui permettent aux applications d'accéder aux données et d'interagir avec les bases de données Web. Mais si elles ne sont pas correctement sécurisées, ces API peuvent être exploitées par des acteurs malveillants pour récolter en masse des informations stockées dans ces bases de données. En octobre, fournisseur de téléphonie mobile Optus révélé que des pirates informatiques ont abusé d'une API mal sécurisée pour voler des données sur 10 millions de clients en Australie.

T-Mobile a déclaré avoir appris l'incident pour la première fois en janvier. Le 5 novembre 2023, et qu'une enquête a déterminé que le mauvais acteur avait commencé à abuser de l'API à partir de novembre environ. 25, 2022. La société affirme qu'elle est en train d'informer les clients concernés et qu'aucune donnée de carte de paiement, mot de passe, numéro de sécurité sociale, permis de conduire ou autre numéro d'identification gouvernemental des clients n'a été exposée.

En août 2021, T-Mobile a reconnu que les pirates informatiques s'étaient emparés des noms, dates de naissance, numéros de sécurité sociale et informations de permis de conduire/carte d'identité de plus de 40 millions de clients actuels, anciens ou potentiels qui ont demandé un crédit auprès de l'entreprise. Cette brèche est apparue après un pirate informatique a commencé à vendre les disques sur un forum de cybercriminalité.

L'année dernière, T-Mobile a accepté de payer 500 millions de dollars pour régler tous les recours collectifs découlant de la violation de 2021. L'entreprise s'est engagée à dépenser 150 millions de dollars de cet argent pour renforcer sa propre cybersécurité.

Dans son dépôt auprès de la SEC, T-Mobile a suggéré qu'il faudrait des années pour tirer pleinement parti des avantages de ces améliorations en matière de cybersécurité, même s'il affirmait que la protection des données des clients restait une priorité absolue.

"Comme nous l'avons déjà révélé, en 2021, nous avons entamé un investissement pluriannuel substantiel en travaillant avec des experts externes de premier plan en cybersécurité pour améliorer nos capacités en matière de cybersécurité et transformer notre approche de la cybersécurité”, indique le dossier. “Nous avons fait des progrès substantiels à ce jour, et la protection des données de nos clients reste une priorité absolue.”

Bien qu'il s'agisse du deuxième déversement majeur de données client en autant d'années, T-Mobile a déclaré à la SEC que la société ne s'attendait pas à ce que cette dernière violation ait un impact significatif sur ses opérations.

Bien que cela puisse sembler une chose audacieuse à dire dans une divulgation de violation de données affectant une partie importante de votre clientèle active, considérez que T-Mobile signaler revenus de près de 20 milliards de dollars rien qu'au troisième trimestre de 2022. Dans ce contexte, quelques centaines de millions de dollars tous les deux ans pour faire disparaître les avocats des recours collectifs est une goutte d'eau dans l'océan.

Le règlement lié à la violation de 2021 indique que T-Mobile mettra 350 millions de dollars à la disposition des clients qui déposent une réclamation. Mais voici le hic: si vous avez été affecté par cette violation de 2021 et que vous ne l'avez pas fait déposé une réclamation pour le moment, sachez que vous n'avez plus que trois jours pour le faire.

Si vous étiez un client de T-Mobile touché par l'incident de 2021, il est probable que T-Mobile ait déjà déployé plusieurs efforts pour vous informer de votre éligibilité à déposer une réclamation, qui comprend un paiement d'au moins 25 USD, avec la possibilité de plus pour ceux qui peuvent documenter les coûts directs associés à la violation. OpenClassActions.com dit que la date limite de dépôt est janvier. 23, 2023.

“Si vous optez pour un paiement en espèces vous recevrez environ 25,00$", explique le site. "Si vous résidez en Californie, vous recevrez environ 100,00$. Les pertes directes peuvent être remboursées jusqu'à concurrence de 25 000,00$. Le montant que vous réclamez à T-Mobile sera déterminé par l'administrateur du recours collectif en fonction du nombre de personnes qui déposent un formulaire de réclamation légitime et en temps opportun.”

Il n'y a actuellement aucun signe que les pirates vendent ce dernier transport de données de T-Mobile, mais si le passé est un enseignant, une grande partie finira bientôt en ligne. Il y a fort à parier que les escrocs utiliseront certaines de ces informations pour cibler les utilisateurs de T-Mobile avec des messages de phishing, des prises de contrôle de compte et du harcèlement.

Les clients de T-Mobile doivent s'attendre à ce que des hameçonneurs profitent des inquiétudes du public concernant la violation pour se faire passer pour l'entreprise — et peut-être même envoyer des messages contenant les détails du compte compromis du destinataire pour rendre les communications plus légitimes.

Les données volées et exposées dans cette violation peuvent également être utilisées pour le vol d'identité. Les services de surveillance du crédit et de protection contre le vol d'identité peuvent vous aider à vous remettre du vol de votre identité, mais la plupart ne feront rien pour empêcher le vol d'identité de se produire. Si vous voulez un contrôle maximal sur qui devrait être en mesure de consulter votre crédit ou d'accorder de nouvelles marges de crédit à votre nom, alors un gel de la sécurité est votre meilleure option.

Quel que soit le fournisseur de téléphonie mobile que vous fréquentez, envisagez de supprimer votre numéro de téléphone d'autant de comptes en ligne que possible. De nombreux services en ligne exigent que vous fournissiez un numéro de téléphone lors de l'enregistrement d'un compte, mais dans de nombreux cas, ce numéro peut être supprimé de votre profil par la suite.

Pourquoi est-ce que je suggère ça? De nombreux services en ligne permettent aux utilisateurs de réinitialiser leurs mots de passe simplement en cliquant sur un lien envoyé par SMS, et cette pratique malheureusement répandue a transformé les numéros de téléphone portable en documents d'identité de facto. Ce qui signifie perdre le contrôle de votre numéro de téléphone grâce à un échange de carte SIM ou sortie de numéro de mobile non autorisé, le divorce, la cessation d'emploi ou la crise financière peuvent être dévastateurs.



>>Plus