API Attacker Steals Data on 37 Million T-Mobile Customers
2023/01/20 InfoSecurity — T-Mobile は、数千万人の顧客の個人情報やアカウント情報に対して、脅威アクターがAPI 経由で不正にアクセスしたことを認めた。同社は、2023年1月19日の SEC ファイリングで、この攻撃は 2022年11月25日頃に始まり、また、2023年1月5日まで発見されなかったが、発見後の1日以内にインシデントは解決したと説明している。
脅威アクターが流出させた情報に含まれるのは、顧客名/請求先住所/Eメールアドレス/電話番号/生年月日/T-Mobile のアカウント番号/アカウントの回線数/プランの種類などである。
T-Mobile は声明の中で、「盗まれた情報の、ほぼ全ては、マーケティング・データベースや名簿で広く利用できるタイプである」と主張し、侵害の深刻さをごまかそうとした。このような膨大なデータに含まれる各顧客の個人情報は、脅威アクターによるフィッシング/なりすまし詐欺に悪用される可能性もあるため、同社の主張は少し的外れだ。
T-Mobile は声明の中で、「パスワード/カード情報/社会保障番号/政府発行の ID 番号/その他の金融口座情報などは漏洩していない。当社のシステムとポリシーにより、最も機密性の高いタイプの顧客情報へのアクセスは防止されている。したがって、この不正アクセスにより、顧客の口座や財務が直接危険に晒されることはないはずだ。また、脅威アクターが T-Mobile のネットワーク/システムを侵害したという証拠も、危険にさらしたという証拠もない」と付け加えている。
現時点では、脅威アクターが悪用した API の脆弱性の種類が分からず、また、T-Mobile による侵入の検知までに、1ヶ月半近くかかった理由なども不明だ。
Wallarm の CEO 兼共同設立者である Ivan Novikov は、組織は定期的にセキュリティ・システム/ポリシー/性能を見直して更新を実施し、インシデント対応計画を策定すべきであると主張している。
彼は、「組織がデジタル・トランスフォーメーションを加速させ、API を活用するケースが増えてくると、機密データを保護する適切なツールと、専門知識を備えることが、きわめて重要になる。たった1つの API を介した不正アクセスが、深刻なデータ漏洩につながる可能性がある」と述べている。
この InfoSecurity に限らずですが、いつも参照しているセキュリティ・ニュース・メディアは、T-Mobile に対して言葉がキツイと感じます。代表的なインシデントを並べると、以下のような感じになりますが、それぞれを読むと、きつい理由が見えてきます。よろしければ、T-Mobile で検索も、ご参照ください。
2022/04/15:T-Mobile :ブロックできない SMS フィッシング
2021/12/29:T-Mobile で SIM スワップ攻撃が発生
2021/08/15:T-mobile 1億人分の顧客データが盗まれた
IoT OT Security News 
You must be logged in to post a comment.