شرکت تی-موبایل تأیید کرده که یک مهاجم از طریق یک API به اطلاعات شخصی و حساب دهها میلیون مشتری این شرکت دسترسی پیدا کرده است. این اپراتور همراه آمریکایی در پروندهای که دیروز در کمیسیون بورس و اوراق بهادار آمریکا ثبت کرده، توضیح داده که این حمله در تاریخ 25 نوامبر 2022 یا حوالی این تاریخ رخ داده اما تا 5 ژانویه 2023 تشخیص داده نشده که پس از این زمان، تی-موبایل ظرف یک روز حمله را متوقف کرده است.
نام مشتریان، صورتحساب، آدرس ایمیل، شماره تلفن، تاریخ تولد، شماره حساب تی-موبایل و اطلاعاتی مثل خطوط مربوط به حساب کاربر و جزئیات اشتراک از جمله اطلاعات افشا شده هستند. تی-موبایل با این ادعا که تقریباً همه اطلاعات به سرعت رفته از جمله اطلاعاتی هستند که به صورت گستردهای در پایگاههای داده بازاریابی وجود دارند، سعی کرده اهمیت این رخنه را کم جلوه دهد.
چنین ادعایی کاملاً درست نیست چون با این حجم از دادههای منتشر شده درباره هر مشتری، کلاهبرداران میتوانند برای هر فرد یک پروفایل کامل تهیه کنند و از این پروفایلها برای فیشینگ و سرقت هویت استفاده کنند. تی – موبایل در بیانیه خودش میگوید: «هیچ یک از رمزهای عبور، اطلاعات کارت بانکی، شماره ملی، شمارههای شناسه دولتی یا سایر اطلاعات اقتصادی افراد افشا نشدهاند».
این شرکت میگوید: «سیاستها و سیستمهای ما به گونهای هستند که مانع از دسترسی به بیشتر اطلاعات حساس مشتریان میشوند. در نتیجه، این رویداد نباید حسابهای مشتریان و امور مالی آنها را مستقیماً دچار مخاطره کند. همچنین هیچ گونه شواهدی مبنی بر اینکه مهاجمان به سیستمها یا شبکه تی-موبایل نفوذ کردهاند، وجود ندارد».
همچنان به صورت دقیق مشخص نیست که مهاجمان از چه نقصی در API استفاده کردهاند یا چرا تشخیص رخنه یک ماه و نیم زمان برده است. بنا به گفته کارشناسان امنیتی: «سازمانها باید به طور منظم سیستمها، سیاستها و قابلیتهای امنیتی خودشان را بازبینی کنند و طرحهایی برای واکنش به حادثه داشته باشند».
محققین میگوید: «همچنان که سازمانها سعی میکنند تلاشهای خودشان را در زمینه تحول دیجیتال شتاب دهند و میزان استفاده خود از APIها را افزایش دهند، ضروری است که برای حفاظت از دادههای حساس خودشان از تخصص و ابزارهای مناسب استفاده کنند. دسترسی غیرمجاز از طریق تنها یک API میتواند منجر به یک رخنه اطلاعاتی چشمگیر شود».
منبع: infosecurity-magazine
