T-Mobile の1億人の個人情報流出事件:ブルートフォースで突破されたらしい

T-Mobile CEO: Hacker brute-forced his way through our network

2021/08/27 BleepingComputer — 本日、T-Mobile の CEO である Mike Sievert は、今回の大規模なデータ流出事件の背後にいるハッカーが、テスト環境にアクセスした後に、同社のネットワークをブルートフォースで突破したことを明らかにした。このインシデントにおいて、顧客の財務情報/クレジットカード情報/支払情報の流出は生じていない。しかし、T-Mobile によると、社会保障番号/電話番号/氏名/住所/生年月日/T-Mobile プリペイド PIN/運転免許証/ID 情報などを含む、現在/過去/将来の顧客5,460万人分の記録が窃取された。

顧客データに対する継続的なリスクは生じない

本日の声明において Sievert は、「当社は犯罪捜査のために法執行機関と積極的に連携しているため、あまり多くの詳細を開示することはできない。簡単に言えば、悪意のある者が、技術システムに関する知識と特殊なツールや能力を利用して、当社のテスト環境にアクセスし、ブルートフォース攻撃などを用いて、顧客データを保存するサーバーに侵入したということだ」と述べている。Mandiant のセキュリティ専門家による調査の結果として、ハッカーが T-Mobile ネットワークに侵入するために用いたアクセス・ポイントは閉鎖されたとのことだ。Sievertは、「今回の不正アクセスが、顧客データに継続的なリスクをもたらすことはないと確信している。また、情報流出の影響を受けた顧客が、T-Mobile から情報を得て、サポートを受け、保護されていると感じてもらえるよう、最善を尽くすことを約束する」と述べている。過去4年において、T-Mobile が公に認めた大規模なデータ漏洩は、今回で6件目となる。

・2018年:数百万人の顧客情報に不正アクセス
・2019年:T-Mobile プリペイド顧客のデータが流出
・2020年3月:T-Mobile 従業員の電子メールアカウントが不正アクセス
・2020年12月:顧客のネットワーク情報 (電話番号、通話記録) への不正
・2021年2月:最大で400人の顧客の対する SIM スワップ攻撃

ハッカーが T-Mobile の「ひどい」セキュリティを揶揄

木曜日の Wall Street Journal の報道によると、この大規模な侵害の背後にいるのは、トルコ在住の 21歳のアメリカ人 John Erin Binns だとされる。ワシントン州のデータセンターに侵入した後、T-Mobile のネットワーク上にある 100台以上のサーバーの認証情報にアクセスしたとされている。Binns の主張によると、T-Mobile ネットワークに侵入するために使用した最初の攻撃ベクターは、インターネットに露出し保護されていないルーターだった。この攻撃者は、「T-Mobile のセキュリティはひどいものだ。何か大きなものにアクセスしてパニックになった」と述べている。WSJ との Telegram Chat で Binns は、T-Mobile のシステムに侵入するために報酬を得たかどうか、あるいは、盗んだデータを他人に売ったかどうかについては、説明を避けている。

BleepingComputer が2週間ほど前に報じたように、ある脅威アクターが、約1億人の T-Mobile 顧客の個人情報を含むと主張して、ハッキング・フォーラムでデータベースを販売していた。また、この攻撃の目的は、2019年に CIA とトルコの諜報員により、ドイツで John Erin Binns (CIA Raven-1) が誘拐/拷問されたことに対する、米国への報復 だされている。2020年に入って Binns は、拷問や嫌がらせを受けたとして、FBI/CIA/司法省を提訴している。彼は情報公開法に基づいて、これらの活動を暴露する文書を、アメリカ政府に公開させようとしている。Binns の主張についてコメントを求められた T-Mobile の広報担当者は、「すでに公に共有されていること以外には、何も言うことはない」と述べている。

このインシデントについては、8月15日に「T-mobile 1億人分の顧客データが盗まれた:背景には FBI / CAI への報復が」をポストしていますので、その続報となります。なんというか、ブルートフォースで突破とは驚きです。「セキュリティがひどい」とハッカーに言われてしまっては、面目丸つぶれですね。関連情報としては、「Nokia の米子会社に Conti ランサムウェアが侵入した」や、「AT&T の 7000 万人分の顧客データが流出か?」などがあります。

%d bloggers like this: