T-Mobile discloses second data breach since the start of 2023
2023/05/01 BleepingComputer — 2023年2月下旬から1ヶ月以上にわたって、T-Mobile の数百人分の個人情報に、攻撃者がアクセスしていたことが判明し、同社は今年に入ってからの2度目のデータ漏洩を公表した。T-Mobile が過去に報告したデータ漏洩インシデント (最新のものは 3700万人に影響を与えた) と比較すると、今回は 836人の顧客が影響を受けただけだった。それでも、漏洩した情報の量はきわめて広範囲に及び、影響を受けた個人は、個人情報の盗難やフィッシング攻撃にさらされることになる。
4月28日 (金) に T-Mobile は、「2023年3月において、当社が導入している、不正な活動を警告する対策が設計通りに機能し、2月下旬から2023年3月にかけて脅威アクターが、少数の T-Mobile アカウントから、限られた情報にアクセスしたと判断した」と、このインシデントの被害者に対するデータ侵害通知書で述べている。
T-Mobile によると、通話記録や金融口座情報に対して、脅威アクターはアクセスしなかったが、公開された個人を特定できる流出情報には、個人情報を盗み出すのに十分すぎるほどのデータが含まれるという。
流出した情報は、影響を受けた顧客ごとに異なるが、そこに含まれるものには、氏名/連絡先/口座番号/電話番号/T-Mobile 口座の PIN/社会保障番号/政府 ID/生年月日/残高/回線数などに加えて、T-Mobile サービスで用いられる内部コードなどがあるという。
セキュリティ侵害を検知した直後に T-Mobile は、影響を受けた顧客のアカウント PIN を積極的にリセットし、現在は Transunion myTrueIdentity を通じて2年間の無料クレジット・モニタリングと個人情報盗難検出サービスを提供している。
今日の未明に BleepingComputer は、T-Mobile の広報担当者に詳細を問い合わせたが、コメントは得られなかった。
2023年に入って2度目のデータ漏洩が開示される
2023年に入ってから、T-Mobile が明らかにしたインシデントは、これで2件目である。前回のデータ漏洩は、1月19日に公開されたものだ。その時の攻撃者は、2022年11月に脆弱な API を悪用し、3700万人分の個人情報を盗み出した。
2023年1月5日の時点で T-Mobile は、脅威アクターによる悪質な活動を発見し、24時間以内にシステムへのアクセスを遮断した。T-Mobile は、その時の侵害で盗まれたデータについて、氏名/請求先住所/電子メール/電話番号/生年月日/T-Mobile アカウント番号/回線数/基本顧客情報だと説明していた。
2018年以降において T-Mobile は、全顧客の約 3% の情報を流出させたインシデントを含め、7件のデータ漏洩を公表している。
T-Mobile のデータ漏えいですが、文中にある 2023年1月のインシデントについては、2023/01/20 の「T-Mobile にデータ侵害が発生:API 攻撃により 3,700万人分の顧客情報が漏えい」がありますので、詳細は、そちらでご確認ください。なんというか、ヤラレっぱなしの T-Mobile のコメント見ていると、開き直りとも解釈できる内容ですね。よろしければ、T-Mobile で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.