Hackerek kényszerítették térdre az amerikai T-Mobile-t

Szerző: Biztonságportál | Utolsó módosítás: 2023.01.23.
​Az amerikai T-Mobile ismét egy olyan, nagyon jelentős adatbiztonsági incidenst volt kénytelen elkönyvelni, amely ezúttal 37 millió ügyfelét érintette.
 

Az amerikai T-Mobile az elmúlt években többször került a biztonsági hírek élére azáltal, hogy nem sikerült komoly kibertámadásokat időben elhárítania, amik végül rendszerek kompromittálásával, valamint adatszivárgásokkal jártak. A vállalat korábban már elkötelezte magát a védelmének jelentős fejlesztése mellett. Azonban minden jel arra utal, hogy eddig ezek nem hozták meg a kívánt eredményt, hiszen egy újabb bizarr, de egyben tanulságos adatlopás történt a vállalatnál.
 
A T-Mobile szerint a támadók 2022. november 25-én kezdték az akciójukat, azonban arra csak idén, január 5-én derült fény. Ennek következtében az elkövetőknek bőven volt idejük arra, hogy elérjék a céljukat.
 
Az eddigi vizsgálatok arra derítettek fényt, hogy az incidens egy sérülékeny API-n keresztül következett be. Ezzel kapcsolatos technikai részleteket ugyan nem kívánt elárulni a vállalat, de könnyen elképzelhető, hogy a feketekalapos hackerek találtak egy olyan sebezhető API-hívást, amin keresztül hitelesítés nélkül is képesek voltak adatok lekérdezésére.
 
A biztonsági eseménynek súlyos következményei lettek, hiszen legalább 37 millió ügyfél adata került illetéktelen kezekbe. Egyebek mellett nevek, számlázási címek, e-mail címek, telefonszámok, születési dátumok is kikerültek a vállalattól. Ugyanakkor jogosítványokkal kapcsolatos adatokhoz, társadalombiztosítási számokhoz, jelszavakhoz, PIN-kódokhoz, bank- és hitelkártya adatokhoz nem fértek hozzá a támadók.
 
A vállalat az incidens tudomására jutásakor azonnal letiltotta az érintett API-t, hogy elejét vegye a további adatszivárgásnak. Egyúttal értesítette az illetékes hatóságokat a történtekről, majd megkezdte az érintett ügyfeleinek tájékoztatását. Azóta a vizsgálatokba már szövetségi ügynökségek is bekapcsolódtak.
 
A mostani eset is jól példázza, hogy az elmúlt években mind fontosabb szerephez jutó API-k jelentős támadási felületet biztosítanak a kiberbűnözők számára, ezért az API-biztonsággal kapcsolatos kockázatokat kiemelten kell kezelni a védelmi intézkedések meghozatalakor.
További hírek
Vélemények
 
Riasztások
  1. 3
    Symfony sérülékenységek

    A Symfony kapcsán két sebezhetőség miatt jelent meg frissítés.

  2. 3
    Moodle biztonsági javítások

    A Moodle legújabb verziójának telepítésével három biztonsági hiba szüntethető meg.

  3. 1
    Hermwiz

    ​A Hermwiz féreg meglehetősen gyorsan képes terjedni a helyi hálózatokban.

 
Partnerhírek
​ESET kiberbiztonsági trendek 2023: szép új hibrid világ

Ismét egy olyan évet zárunk, amilyenben még nem volt részünk – az ESET szakértői szerint sosem látott szintet ért el a digitális eszközöktől való függőségünk is.

A biztonsági fásultság jelei

Az IT biztonsági részleget gyakran “a nemetmondás osztályának” tartják, és nem nehéz belátni ennek okait.

További partnerhírek >>
hirdetés
Kiemelt hírek
Közösség

OLDALUNK

RSS
Impresszum
Hirdetési információk
Adatvédelem
Felhasználási feltételek

ROVATOK

Adatbiztonság
Családbiztonsag
Mobilbiztonság
Sebezhetőségek
Vírusvédelem

SHOP

Információk, szállítás, fizetés
Terméktámogatási információk

PARTNEREK

Androgeek
Hírposta
Hírhányó
Hírstart
Copyright by Isidor - Minden jog fenntartva!