منو سایت

مهاجمان اطلاعات 37 میلیون مشتری T-Mobile را با استفاده از API سرقت کردند

 تاریخ انتشار :
/
  اخبار استارتاپ
مهاجمان اطلاعات 37 میلیون مشتری T-Mobile را با استفاده از API سرقت کردند

T-Mobile تایید کرده است که یک هکر از طریق یک API به اطلاعات شخصی و حساب های ده ها میلیون مشتری دسترسی پیدا کرده است. این اپراتور تلفن همراه آمریکایی در پرونده ای که دیروز در کمیسیون بورس و اوراق بهادار ایالات متحده ثبت کرد توضیح داد که این حمله در تاریخ 25 نوامبر 2022 یا حوالی آن رخ داده است، اما تا 5 ژانویه 2023 شناسایی نشده بود که پس از آن زمان T-Mobile این حمله را متوقف کرد. حمله در عرض یک روز

نام مشتری، فاکتورها، آدرس ایمیل، شماره تلفن، تاریخ تولد، شماره حساب T-Mobile و اطلاعاتی مانند خطوط حساب کاربری و جزئیات اشتراک از جمله اطلاعات فاش شده است. T-Mobile سعی کرد اهمیت این نقض را کم اهمیت جلوه دهد و گفت که تقریباً تمام داده های لو رفته داده هایی هستند که به طور گسترده در پایگاه های داده بازاریابی در دسترس هستند.

چنین گفته ای کاملا درست نیست، زیرا با این حجم از اطلاعات منتشر شده در مورد هر مشتری، کلاهبرداران می توانند یک پروفایل کامل برای هر فرد ایجاد کنند و از این پروفایل ها برای فیشینگ و سرقت هویت استفاده کنند. T-Mobile در بیانیه خود اعلام کرد: هیچ یک از رمز عبور افراد، اطلاعات کارت بانکی، شماره ملی، شماره شناسایی دولتی یا سایر اطلاعات اقتصادی فاش نشد.

این شرکت می‌گوید: «سیاست‌ها و سیستم‌های ما برای جلوگیری از دسترسی به حساس‌ترین اطلاعات مشتری وجود دارد. بنابراین، این رویداد نباید مستقیماً حساب و مالی مشتریان را تهدید کند. همچنین هیچ مدرکی مبنی بر نفوذ مهاجمان به سیستم یا شبکه T-Mobile وجود ندارد.”

هنوز مشخص نیست که مهاجمان دقیقاً از چه نقص API استفاده کرده‌اند یا چرا یک ماه و نیم طول کشیده تا این نقض کشف شود. به گفته کارشناسان امنیتی: “سازمان ها باید به طور منظم سیستم ها، سیاست ها و قابلیت های امنیتی خود را بررسی کنند و برنامه های واکنش به حوادث را در اختیار داشته باشند.”

محققان می‌گویند: «از آنجایی که سازمان‌ها تلاش می‌کنند تا تلاش‌های خود را برای تبدیل دیجیتالی تسریع کنند و استفاده از APIها را افزایش دهند، ضروری است که از تخصص و ابزار مناسب برای محافظت از داده‌های حساس خود استفاده کنند.» “دسترسی غیرمجاز از طریق تنها یک API می تواند منجر به نقض قابل توجه داده شود.”

منبع: infosecurity-magazine