T-Mobile subit une violation de sécurité majeure affectant des millions de clients

T-Mobile a connu mercredi une faille de sécurité majeure, ce qui a entraîné le partage en ligne de plus de 40 millions de numéros de sécurité sociale et d’informations personnelles de clients actuels et potentiels, tels que les noms et prénoms, les dates de naissance, les numéros de sécurité sociale et les informations de permis de conduire. Les victimes étaient des personnes qui avaient demandé un crédit auprès de la compagnie de téléphonie mobile – qu’elles l’aient utilisé ou non – ainsi que près de 7,8 millions d’utilisateurs actuels de forfaits postpayés.

Les autorités affirment que les informations ont déjà été mises aux enchères sur des forums en ligne, ce qui signifie qu’elles pourraient éventuellement être utilisées pour des activités frauduleuses telles que le vol d’identité et l’échange de cartes SIM. « C’est probablement le plus gros cadeau qu’ils aient reçu depuis des années pour les échangeurs de cartes SIM », a déclaré au Wall Street Journal Allison Nixon, directrice de recherche de la société de services informatiques Unit 221B. « Le cycle de vie typique de ces bases de données est d’abord qu’elles commencent entre les mains de très peu, mais cela se répandra parce que les gens partagent des données », a-t-elle déclaré. « Toutes ces bases de données piratées finissent par devenir publiques. »

Les informations volées ont un prix élevé, les listes demandent des prix supérieurs à 80 000 $ ou 6 bitcoins (ce qui équivaut à environ 270 000 $ aux taux de change de mercredi) selon Gene Yoo, directeur général de Resecurity Inc., une société de cybersécurité. La société de téléphonie mobile a lancé un portail contenant des informations sur la violation pour ses abonnés et a commencé à informer ses clients par SMS et par e-mail. Malheureusement, T-Mobile a choisi de ne pas entrer dans les détails des informations volées, mais avec les informations de sécurité sociale et d’autres informations personnelles, la société révèle que les numéros de téléphone et les codes PIN de compte de probablement 850 000 de ses clients sur les plans prépayés ont été rendus publics. Metro by T-Mobile, les anciennes marques Sprint et Boost Mobile ne faisaient pas partie du groupe.

Ces informations pourraient évidemment être potentiellement dangereuses entre les mains de la mauvaise personne. « Un attaquant doit simplement appeler le service client avec les informations divulguées », a déclaré Ravishankar Borgaonkar, chercheur principal à l’institut de recherche norvégien Sintef, avant d’ajouter que les attaquants passent généralement des heures ou des jours à rechercher plusieurs bases de données divulguées à construire. profils de leurs cibles. « Cette base de données fait gagner du temps.

Share