T-Mobile تایید کرده است که یک هکر از طریق یک API به اطلاعات شخصی و حساب های ده ها میلیون مشتری دسترسی پیدا کرده است. این اپراتور تلفن همراه آمریکایی در پرونده ای که دیروز در کمیسیون بورس و اوراق بهادار ایالات متحده ثبت کرد توضیح داد که این حمله در تاریخ 25 نوامبر 2022 یا حوالی آن رخ داده است، اما تا 5 ژانویه 2023 شناسایی نشده بود که پس از آن زمان T-Mobile این حمله را متوقف کرد. حمله در عرض یک روز
نام مشتری، فاکتورها، آدرس ایمیل، شماره تلفن، تاریخ تولد، شماره حساب T-Mobile و اطلاعاتی مانند خطوط حساب کاربری و جزئیات اشتراک از جمله اطلاعات فاش شده است. T-Mobile سعی کرد اهمیت این نقض را کم اهمیت جلوه دهد و گفت که تقریباً تمام داده های لو رفته داده هایی هستند که به طور گسترده در پایگاه های داده بازاریابی در دسترس هستند.
چنین گفته ای کاملا درست نیست، زیرا با این حجم از اطلاعات منتشر شده در مورد هر مشتری، کلاهبرداران می توانند یک پروفایل کامل برای هر فرد ایجاد کنند و از این پروفایل ها برای فیشینگ و سرقت هویت استفاده کنند. T-Mobile در بیانیه خود اعلام کرد: هیچ یک از رمز عبور افراد، اطلاعات کارت بانکی، شماره ملی، شماره شناسایی دولتی یا سایر اطلاعات اقتصادی فاش نشد.
این شرکت میگوید: «سیاستها و سیستمهای ما برای جلوگیری از دسترسی به حساسترین اطلاعات مشتری وجود دارد. بنابراین، این رویداد نباید مستقیماً حساب و مالی مشتریان را تهدید کند. همچنین هیچ مدرکی مبنی بر نفوذ مهاجمان به سیستم یا شبکه T-Mobile وجود ندارد.”
هنوز مشخص نیست که مهاجمان دقیقاً از چه نقص API استفاده کردهاند یا چرا یک ماه و نیم طول کشیده تا این نقض کشف شود. به گفته کارشناسان امنیتی: “سازمان ها باید به طور منظم سیستم ها، سیاست ها و قابلیت های امنیتی خود را بررسی کنند و برنامه های واکنش به حوادث را در اختیار داشته باشند.”
محققان میگویند: «از آنجایی که سازمانها تلاش میکنند تا تلاشهای خود را برای تبدیل دیجیتالی تسریع کنند و استفاده از APIها را افزایش دهند، ضروری است که از تخصص و ابزار مناسب برای محافظت از دادههای حساس خود استفاده کنند.» “دسترسی غیرمجاز از طریق تنها یک API می تواند منجر به نقض قابل توجه داده شود.”
منبع: infosecurity-magazine