Hier soir, Google Fi a révélé une violation de données à des clients qui, pour au moins une personne, s’est avérée être une situation beaucoup plus grave impliquant que leur numéro de téléphone soit déplacé vers un autre appareil et que des comptes soient piratés en temps réel.

La divulgation par Google Fi de cette récente violation de données a indiqué aux clients qu’une « quantité limitée de données client Google Fi » avait été consultée par un tiers, expliquant que les données comprenaient certaines données de compte, les numéros de série de la carte SIM et l’état du compte, mais pas de données personnelles. des données telles que des noms, des dates de naissance ou d’autres détails sensibles ont été révélées.

Cependant, cet e-mail variait pour au moins un client.

partagé vers Reddit, un client de Google Fi a déclaré que son e-mail de Google mentionnait que son service téléphonique était transféré sur une autre carte SIM pendant un peu moins de deux heures. L’e-mail disait:

De plus, le 1er janvier 2023 pendant environ 1h48, votre service de téléphonie mobile a été transféré de votre carte SIM vers une autre carte SIM. Pendant la durée de ce transfert temporaire, l’accès non autorisé pourrait avoir impliqué l’utilisation de votre numéro de téléphone pour envoyer et recevoir des appels téléphoniques et des SMS. Malgré le transfert SIM, votre messagerie vocale n’a pas pu être consultée. Nous avons restauré le service Google Fi sur votre carte SIM.

9to5Google a depuis été en contact avec ce client Fi qui a expliqué la situation qu’il a rencontrée et a fourni des preuves pour étayer ces détails.

Le 1er janvier, le client a reçu des notifications d’accès non autorisé et de réinitialisation de mot de passe de comptes en ligne par e-mail, y compris pour son adresse e-mail Outlook, un compte de portefeuille crypto et Authy. Tous ces comptes voyaient des comptes accessibles par un tiers et, dans le cas d’Outlook et du compte crypto, les mots de passe ont été réinitialisés avec succès. Journaux de ces services consultés par 9to5Google a montré que l’attaquant avait eu accès au service téléphonique du client, en utilisant le numéro pour obtenir des codes SMS pour ces comptes et y accéder.

L’historique des SMS de Google Fi – qui affiche le numéro de téléphone des messages envoyés ou reçus mais pas le contenu – au niveau du compte a montré que les messages SMS des services à deux facteurs étaient envoyés dans la minute suivant l’accès de l’attaquant à ces comptes.

Fait effrayant, le client n’était au courant de tout cela qu’à cause des alertes par e-mail, car les messages SMS n’arrivaient pas sur son smartphone car son numéro de téléphone avait été transféré sur la carte SIM de l’attaquant. Plusieurs messages SMS ont été échangés pendant la période (environ 45 minutes) pendant laquelle l’attaquant a eu accès à ce numéro de téléphone, y compris les codes d’authentification à deux facteurs utilisés pour accéder aux comptes, ainsi que les nouveaux codes envoyés par les personnes concernées. client alors qu’il tentait d’accéder à ces comptes.

En fin de compte, le client a pu retrouver l’accès à ses comptes, ainsi qu’à son numéro de téléphone en désactivant et en rallumant l’accès au réseau sur son iPhone. Cependant, il n’est pas clair si ce processus a mis fin à l’accès de l’attaquant ou s’il s’agissait d’une simple coïncidence.

Dans l’e-mail mentionné ci-dessus (qui a été vérifié cryptographiquement par un chercheur en sécurité OMS Auparavant a travaillé pour Google), Google a recommandé au client de désactiver les codes d’authentification à deux facteurs et a offert deux ans de surveillance du crédit et de protection contre le vol d’identité au client, quelque chose qui ne figurait pas dans l’e-mail envoyé aux autres clients (c’est nous qui soulignons).

Voici nos conseils pour rester en sécurité en ligne. Celles-ci incluent la vérification de la sécurité, l’utilisation de réseaux sécurisés lors de la navigation sur le Web et la sélection des paramètres de confidentialité, y compris la vérification en deux étapes non basée sur SMSqui peuvent aider à protéger la sécurité de vos données.

Alors, qu’est-ce-qu’il s’est passé?

Vraiment, ce n’est pas tout à fait clair, et le client nous a dit que les représentants du support Fi n’étaient pas en mesure de fournir de détails et ont rejeté l’affaire dans une certaine mesure.

Un « Échange de carte SIM” L’attaque n’explique pas comment l’attaquant a pu déplacer le service d’une carte SIM à une autre à distance. Ce client utilisait notamment une carte SIM physique et non une eSIM. Un Attaque SS7 semble plausible, mais Google mentionnant ce détail dans un e-mail parlant d’une violation de données qui a affecté d’autres clients ajoute de nombreuses autres couches à la situation. Cela implique certainement que la violation de données, qui commencé avec 37 millions de clients T-Mobileavait quelque chose à voir avec cet incident.

Évidemment, cette situation soulève de grandes questions. D’autres clients ont-ils été touchés ? Ces clients ont-ils été touchés pendant la même période ? Était-ce une attaque ciblée ? Et, peut-être le plus important, T-Mobile a-t-il également été affecté de la même manière ?

Nous avons contacté Google pour plus d’informations sur cet aspect de la violation de données, mais l’entreprise n’a pas répondu à notre demande.

Si vous êtes un client Google Fi et que vous avez reçu un message similaire de Google, veuillez nous contacter par e-mail.

En savoir plus sur Google Fi :