.
A T-Mobile US disse hoje que alguém abusou de uma API para baixar as informações pessoais de 37 milhões de assinantes.
UMA arquivamento regulatório [PDF] divulgou que um ou mais criminosos foram capazes de acessar potencialmente o “nome, endereço de cobrança, e-mail, número de telefone, data de nascimento, número da conta T-Mobile e informações como o número de linhas na conta e recursos do plano” de cada cliente afetado .
Senhas, detalhes de pagamento e outras informações confidenciais não foram obtidas, fomos informados. Os dados roubados cobrem “contas atuais de clientes pós-pagos e pré-pagos”.
A T-Mo declaração na quinta-feira, explicou que a operadora começou a informar às pessoas que seus dados pessoais foram acessados e ofereceu a opinião de que “as contas e finanças dos clientes não devem ser colocadas em risco diretamente por este evento”.
Observe o uso de “diretamente” – um aparente reconhecimento de que os registros desviados podem ser usados como base para phishing, roubo de identidade e similares, o que significa que a dor pode ser sentida semanas ou meses depois que as pessoas são avisadas sobre o fiasco de segurança.
O comunicado à imprensa descreveu os dados roubados como “básicos” e “quase todos do tipo amplamente disponível em bancos de dados ou diretórios de marketing”. Ah, então tudo bem. Não há necessidade de realmente se preocupar com a segurança dos dados. Suas informações pessoais já estão por aí, em todos os lugares, de qualquer maneira. Graças a empresas como a T-Mobile US, é claro.
O arquivamento da SEC, por sua vez, acrescentou que a operadora detectou “um malfeitor estava obtendo dados por meio de uma única interface de programação de aplicativo (API) sem autorização” em 5 de janeiro de 2023. Investigações subsequentes levaram à conclusão de que o intruso estava usando a API para o mal como a partir de 25 de novembro de 2022.
A rede celular minimizou o roubo, afirmando: “Nossos sistemas e políticas impediram que os tipos mais confidenciais de informações do cliente fossem acessados”.
O documento também considera o incidente potencialmente muito pior, não fosse a T-Mobile US ter iniciado um programa de melhoria de segurança em 2021.
Mas esse programa foi necessário devido à frágil segurança da operadora, que sofreu repetidas violações de dados. Aqui está um resumo dos problemas da T-Mobile US:
- 2018 – Dois milhões de registros acessados, incluindo senhas com hash
- 2019 – Mais de um milhão de registros de clientes acessados, alguns dados pessoais expostos
- março de 2020 – Contas de e-mail de funcionários comprometidas e detalhes de clientes acessados
- Dezembro 2020 – Apenas 200.000 registros de clientes descrevendo informações de rede vazaram
- 2021 – 48 milhões de registros de clientes pós-pagos publicados na dark web
- julho de 2022 – T-Mobile USA anuncia acordo de $ 550 milhões da violação de 2021
- novembro de 2022 – Contribui para o acordo de $ 16 milhões de violações de 2012 e 2015 na Experian que envolveram clientes da T-Mobile
Esse é um registro poderoso de erros. É por isso que a T-Mob em 2021 “iniciou um investimento substancial de vários anos trabalhando com os principais especialistas externos em segurança cibernética para aprimorar nossos recursos de segurança cibernética e transformar nossa abordagem à segurança cibernética”.
Embora o arquivamento da SEC afirme que a gigante do celular sente que “fez progressos substanciais até o momento”, as notícias do novo incidente sugerem que o programa pode não estar atingindo seus objetivos.
Em seu comunicado, a operadora aparentemente se rende à inevitabilidade de ataques mais bem-sucedidos. “Embora nós, como qualquer outra empresa, infelizmente não estejamos imunes a esse tipo de atividade criminosa, planejamos continuar a fazer investimentos substanciais e plurianuais para fortalecer nosso programa de segurança cibernética”, afirma a papelada.
Ele também admite: “Podemos incorrer em despesas significativas relacionadas a este incidente.”
Esse som que você ouve? Advogados em todos os lugares preparando documentação de ação coletiva.
Ou talvez o som seja os executivos da T-Mobile nos EUA rindo disso: desde 2018, o preço das ações da operadora disparou de US$ 65 para US$ 145, o número de assinantes cresceu de 77 milhões para 110 milhões e a receita está prestes a dobrar para cerca de US$ 80. bilhão. ®
.
