T-Mobile a averti des millions de ses clients qu’un acteur malveillant utilisait une interface de programmation d’application (API) pour accéder à certaines de leurs données sensibles.
Dans un avertissement publié sur le site Web de la société, T-Mobile a tenté de minimiser l’importance de l’incident, affirmant que certaines « informations de base sur les clients (presque toutes sont du type largement disponible dans les bases de données ou les annuaires marketing) » ont été obtenues.
Les données, cependant, comprennent les noms des personnes, les adresses de facturation, les adresses e-mail, les numéros de téléphone, les dates de naissance et les numéros de compte, toutes des informations précieuses pour le vol d’identité. (s’ouvre dans un nouvel onglet) attaques, hameçonnage et attaques d’ingénierie sociale similaires.
Des millions de victimes
Les mots de passe, les informations de carte de paiement, les numéros de sécurité sociale, les numéros d’identification du gouvernement, ainsi que les informations sur les comptes financiers, sont restés en sécurité, a confirmé la société. Il a également déclaré que son enquête avait conclu qu’il n’y avait aucune preuve d’une violation de ses réseaux ou systèmes.
Bien que l’avertissement ne précise pas combien de personnes ont été touchées par la violation et quels types de comptes ont été compromis, un total de 37 millions de clients ont eu accès à leurs données, y compris des clients prépayés et postpayés.
L’attaque s’est déroulée entre le 25 novembre 2022 et le 5 janvier 2023. C’est le 6 janvier que T-Mobile a finalement coupé l’accès des acteurs de la menace.
La société a signalé l’attaque aux forces de l’ordre et aux agences fédérales aux États-Unis, dont l’enquête est actuellement en cours, a-t-on précisé. T-Mobile a également ajouté qu’il avait commencé à informer les clients dont les données auraient pu être compromises.
Le bilan du géant allemand des télécommunications en matière de violation de données est loin d’être idéal. L’entreprise a connu plusieurs incidents au fil des ans, dont un en 2018, un en 2019 et au moins trois en 2020. En 2021, il a été constaté que l’entreprise avait payé des centaines de milliers de dollars pour que ses données sensibles ne soient pas divulguées sur le Web. , ce qui s’est produit de toute façon, et un an plus tard, en 2022, a confirmé avoir été ciblé par le gang d’extorsion de dollars Lapsus.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)