Gestern, mobiler Riese T-Mobile sagte, dass es ab dem 26. November eine Datenschutzverletzung erlitten habe, von der 37 Millionen Bestandskunden sowohl auf Prepaid- als auch auf Nachzahlungskonten betroffen seien. Das Unternehmen sagte in a Einreichung bei der US Securities and Exchange Commission dass ein „bösartiger Schauspieler“ eine der Anwendungsprogrammierschnittstellen (APIs) des Unternehmens manipulierte, um Kundennamen, E-Mail-Adressen, Telefonnummern, Rechnungsadressen, Geburtsdaten, Kontonummern und Serviceplandetails zu stehlen. Das erste Eindringen erfolgte Ende November, und T-Mobile entdeckte die Aktivität am 5. Januar.
T-Mobile ist einer der größten Mobilfunkanbieter der USA und ist geschätzt mehr als 100 Millionen Kunden zu haben. Aber in den letzten 10 Jahren hat sich das Unternehmen den Ruf erarbeitet, neben anderen Sicherheitsvorfällen auch wiederholt Datenpannen erlitten zu haben. Das Unternehmen hatte 2021 einen Mega-Bruch, zwei Verstöße 2020 eine in 2019und ein anderer drin 2018. Die meisten großen Unternehmen haben mit digitaler Sicherheit zu kämpfen, und niemand ist vor Datenschutzverletzungen gefeit, aber T-Mobile scheint sich Unternehmen wie Yahoo im Pantheon wiederholter Kompromittierungen zu nähern.
„Ich bin sicherlich enttäuscht zu hören, dass sie nach so vielen Einbrüchen immer noch nicht in der Lage waren, ihr undichtes Schiff zu stützen“, sagt Chester Wisniewski, Field Chief Technical Officer für angewandte Forschung bei der Sicherheitsfirma Sophos. „Es ist auch besorgniserregend, dass die Kriminellen mehr als einen Monat im System von T-Mobile waren, bevor sie entdeckt wurden. Dies deutet darauf hin, dass die Verteidigung von T-Mobile keine modernen Sicherheitsüberwachungs- und Bedrohungssuchteams einsetzt, wie Sie es vielleicht in einem großen Unternehmen wie einem Mobilfunknetzbetreiber erwarten würden.“
Aufgrund von Beschränkungen der API (einer Schnittstelle, die die Kommunikation zwischen zwei Softwareprogrammen erleichtert) erhielt der Angreifer keinen Zugriff auf Sozialversicherungsnummern oder Steuer-IDs, Führerscheindaten, Passwörter und PINs oder Finanzinformationen wie Zahlungskartendaten. Solche Daten wurden jedoch bei anderen jüngsten Verstößen von T-Mobile kompromittiert, darunter einer im August 2021. Im Juli 2022 erklärte sich T-Mobile bereit, eine Sammelklage wegen dieses Verstoßes in einem Geschäft beizulegen, das 350 Millionen US-Dollar an Kunden umfasste. Damals verpflichtete sich das Unternehmen auch zu einer zweijährigen 150-Millionen-Dollar-Initiative zur Verbesserung seiner digitalen Sicherheit und Datenverteidigung.
T-Mobile, das auf mehrere Bitten um Stellungnahme von WIRED nicht reagierte, schrieb in seiner SEC-Offenlegung, dass im Jahr 2021: „Wir haben eine beträchtliche mehrjährige Investition in Zusammenarbeit mit führenden externen Cybersicherheitsexperten begonnen, um unsere Cybersicherheitsfähigkeiten zu verbessern und unseren Ansatz zu transformieren Internet-Sicherheit. Wir haben bis heute erhebliche Fortschritte gemacht, und der Schutz der Daten unserer Kunden hat nach wie vor oberste Priorität.“
Angesichts des jüngsten Vorfalls, bei dem Daten von etwa einem Drittel der in den USA ansässigen Kunden des Unternehmens offengelegt wurden, war dies eindeutig nicht genug.
„Wie viele davon muss T-Mobile haben?“ fragte sich Jake Williams, ein langjähriger Vorfallshelfer und Analyst am Institute for Applied Network Security. „API-Sicherheit ist gerade erst etwas, worauf sich die Leute wirklich konzentrieren, was ein Fehler war. Das Erkennen von API-Missbrauch ist nicht einfach, insbesondere wenn sich der Bedrohungsakteur langsam und langsam bewegt. Ich vermute, dass es im Allgemeinen eine große Anzahl davon gibt, die einfach unentdeckt bleiben. Aber unter dem Strich muss die API-Sicherheit von T-Mobile eindeutig überarbeitet werden. Sie sollten nicht länger als sechs Wochen massenhaften API-Missbrauch haben.“