Le géant des télécommunications T-Mobile a averti que des informations telles que les noms, les dates de naissance, les numéros de sécurité sociale américains (SSN) et les permis de conduire / pièces d’identité de près de 50 millions de personnes comprenant des clients actuels, anciens ou potentiels ont été divulguées via une violation de données. Bien que de nombreux détails de l’incident (y compris sa cause profonde) restent flous au 19 août, les retombées immédiates suggèrent que cet incident pourrait être l’un des plus importants de ces derniers temps, notamment en raison du nombre d’enregistrements exposés et des implications réglementaires potentielles qui peuvent entrer en jeu.

Alors que la poussière retombe encore beaucoup, voici une chronologie de la violation de données selon la divulgation publique de T-Mobile et d’autres sources. CSO mettra à jour cette chronologie au fur et à mesure que les événements se dérouleront.

Chronologie des violations de T-Mobile

Dimanche 15 août : des pirates prétendent vendre 100 millions de disques T-Mobile volés sur un forum sur la cybercriminalité

Des nouvelles ont éclaté sur Vice.com des pirates prétendant avoir accédé à des données relatives à plus de 100 millions de personnes, qu’ils proposaient à la vente. Bien que le message du forum clandestin ne mentionne pas spécifiquement T-Mobile, un message à Motherboard a confirmé que les informations provenaient des serveurs de T-Mobile et incluaient des SSN, des numéros de téléphone, des noms, des adresses physiques, des numéros IMEI (International Mobile Equipment Identity) et des chauffeurs. Informations sur la licence. La carte mère a confirmé que cela était exact.

Le vendeur demandait 6 bitcoins (environ 270 000 $) pour un sous-ensemble de données contenant 30 millions de SSN et de permis de conduire et a déclaré qu’il cherchait à vendre les informations restantes en privé. Dans une déclaration à Motherboard, T-Mobile a déclaré : « Nous sommes au courant des affirmations faites dans un forum clandestin et avons activement enquêté sur leur validité. Nous n’avons pas d’informations supplémentaires à partager pour le moment.

Lundi 16 août : T-Mobile confirme la violation de données et commence l’examen technique de l’incident

La nouvelle de l’incident faisant la une des journaux dans le monde entier, T-Mobile a publié une déclaration confirmant qu’un accès non autorisé à certaines données de T-Mobile avait eu lieu, bien que les enquêtes n’aient pas encore déterminé si des informations personnelles sur les clients étaient impliquées. «Nous avons travaillé sans relâche pour enquêter sur les allégations selon lesquelles les données de T-Mobile pourraient avoir été consultées illégalement. Nous prenons la protection de nos clients très au sérieux et nous menons une analyse approfondie aux côtés d’experts en criminalistique numérique pour comprendre la validité de ces allégations, et nous nous coordonnons avec les forces de l’ordre.

La société a déclaré qu’elle était convaincue que le point d’entrée utilisé pour accéder avait été fermé et qu’elle poursuivait son examen technique approfondi de la situation à travers les systèmes pour identifier la nature de toutes les données auxquelles on avait accédé illégalement. « Cette enquête prendra un certain temps, mais nous travaillons avec le plus haut degré d’urgence. Jusqu’à ce que nous ayons terminé cette évaluation, nous ne pouvons pas confirmer le nombre signalé d’enregistrements affectés ou la validité des déclarations faites par d’autres », indique le communiqué.

Mardi 17 août : T-Mobile indique que la violation de données a affecté environ 7,8 millions de clients actuels et 40 millions d’enregistrements d’anciens ou de clients potentiels. L’entreprise prend des mesures pour aider à protéger les personnes à risque contre les cyberattaques

T-Mobile a publié une mise à jour sur son enquête en cours sur la violation, y compris les estimations des personnes touchées et les mesures correctives qu’elle prenait. « À la fin de la semaine dernière, nous avons été informés des allégations faites dans un forum en ligne selon lesquelles un mauvais acteur avait compromis les systèmes T-Mobile. Nous avons immédiatement commencé une enquête exhaustive sur ces allégations et fait appel à des experts en cybersécurité de renommée mondiale pour nous aider dans notre évaluation. »

T-Mobile a déclaré avoir localisé et immédiatement fermé le point d’accès qui, selon lui, avait été utilisé pour accéder illégalement à ses serveurs, et alors que son enquête était toujours en cours, il a confirmé que les données volées contenaient des informations personnelles. « Nous n’avons aucune indication que les données contenues dans les fichiers volés comprenaient des informations financières sur les clients, des informations de carte de crédit, des informations de débit ou d’autres informations de paiement », a-t-il déclaré. « Certaines des données consultées comprenaient le prénom et le nom des clients, la date de naissance, le SSN et les informations de permis de conduire/ID pour un sous-ensemble de clients postpayés actuels et anciens et de clients potentiels de T-Mobile. » La société a également confirmé qu’environ 850 000 noms de clients prépayés T-Mobile actifs, numéros de téléphone et codes PIN de compte ont été exposés.

T-Mobile a déclaré qu’il publierait des communications pour conseiller les clients sur les prochaines étapes et recommander des actions pour éviter d’être victime d’attaques de suivi. Cela comprenait l’offre de deux ans de services gratuits de protection de l’identité et des conseils selon lesquels tous les clients postpayés de T-Mobile devraient changer leur code PIN. « Cette précaution est en dépit du fait que nous n’avons aucune connaissance que des codes PIN de compte postpayé ont été compromis », a-t-il ajouté. T-Mobile a également proposé une étape supplémentaire pour protéger les comptes mobiles avec ses capacités de protection contre la prise de contrôle de compte pour les clients postpayés et a annoncé qu’il publierait un page Web unique pour obtenir des informations et des solutions pour aider les clients à prendre des mesures pour se protéger davantage.

Mercredi 18 août : le chercheur en sécurité Brian Krebs conseille aux clients de suivre les conseils de T-Mobile et met en garde contre les attaques de phishing de suivi

Chercheur en sécurité Brian Krebs conseillé aux clients de T-Mobile de changer leur code PIN comme indiqué par T-Mobile, mais a également préconisé de supprimer les numéros de téléphone d’autant de comptes en ligne que possible. « De nombreux services en ligne exigent que vous fournissiez un numéro de téléphone lors de l’enregistrement d’un compte, mais dans de nombreux cas, ce numéro peut être supprimé de votre profil par la suite. » De nombreux services en ligne permettent aux utilisateurs de réinitialiser leurs mots de passe en cliquant simplement sur un lien envoyé par SMS, et cette pratique répandue a transformé les numéros de téléphone portable en documents d’identité de facto, a-t-il ajouté. Cela crée la possibilité de perdre le contrôle des numéros de téléphone « grâce à un échange de carte SIM ou à un portage de numéro de mobile non autorisé, un divorce, une cessation d’emploi ou une crise financière peuvent être dévastateurs ».

Krebs a également averti les clients d’être à l’affût des attaques de phishing associées, ajoutant qu’il y a fort à parier que les escrocs utiliseront certaines des informations exposées pour cibler les utilisateurs de T-Mobile avec des messages de phishing, des prises de contrôle de compte et du harcèlement. « Les clients de T-Mobile devraient s’attendre à voir des hameçonneurs tirer parti des préoccupations du public concernant la violation pour usurper l’identité de l’entreprise – et peut-être même des messages qui incluent les détails du compte compromis du destinataire pour rendre les communications plus légitimes. »