Au cours de la semaine dernière, T-Mobile a confirmé qu’il faisait l’objet d’un violation massive de données qui a exposé les informations personnelles de au moins 50 millions de personnes. Ces informations incluent les noms et prénoms, les dates de naissance, les numéros de sécurité sociale et les informations sur le permis de conduire. C’est à peu près le pire des cas, et la seule raison pour laquelle nous avons découvert est que l’entreprise a répondu à un rapport de La carte mère de Vice.

Les informations appartiennent principalement aux personnes qui ont demandé des comptes avec T-Mobile et ont fourni les informations aux fins d’une vérification de crédit. Cela signifie que même les personnes qui ne sont pas réellement des clients sont susceptibles d’être affectées si elles ont déjà essayé d’ouvrir un compte.

La réponse de l’entreprise a été, eh bien, décevante. Par exemple, je suis un client de T-Mobile et je n’ai pas encore reçu de communication de l’entreprise concernant la violation. Cela signifie-t-il que mes informations sont en sécurité ? C’est difficile à savoir.

Cependant, T-Mobile s’entretient avec des organes de presse et souhaite qu’il soit très clair qu' »aucune information financière ou information de carte de crédit ou de débit » n’a été compromise. Ce n’est pas particulièrement rassurant si quelqu’un dispose de toutes les autres informations dont il aurait besoin pour simplement ouvrir une carte de crédit à votre nom.

Pire encore, cela donne Les pirates qui échangent des cartes SIM sont un énorme cadeau. Si vous n’êtes pas familier avec l’échange de carte SIM, c’est là que quelqu’un est capable de convaincre un opérateur téléphonique qu’il est quelqu’un d’autre et de faire passer le numéro de téléphone de cette personne sous son contrôle.

Cela peut sembler un piratage étrange jusqu’à ce que vous réalisiez que la plupart des choses dont nous préférons empêcher un pirate informatique sont protégé par une authentification à deux facteurs (2FA), ce qui, dans la plupart des cas, consiste à envoyer un message texte sur votre téléphone portable. Cela signifie que si un pirate informatique a accès à votre numéro de téléphone, il a accès à une grande partie de vos informations, y compris – dans de nombreux cas – vos comptes bancaires en ligne.

Tout cela est mauvais, mais revenons à la partie où T-Mobile ne fait pas encore grand-chose pour informer les clients. Parce que, si vous avez mis en danger les informations personnelles de plus de 50 millions de personnes, votre premier travail consiste à les aider à se protéger.

T-Mobile a publié un article de blog avec des informations pour les clients concernés, mais n’a pas, pour autant que je sache, contacté les clients directement en dehors d’un message texte disant :

T-Mobile a déterminé qu’un accès non autorisé à certaines de vos informations, ou à d’autres sur votre compte, s’est produit, comme le nom, l’adresse, le numéro de téléphone et la date de naissance. Il est important de noter que nous n’avons AUCUNE information indiquant que votre SSN, vos informations financières ou de paiement personnelles, vos informations de carte de crédit/débit, vos numéros de compte ou vos mots de passe de compte ont été consultés. Nous prenons la protection de nos clients au sérieux. En savoir plus sur les pratiques qui assurent la sécurité de votre compte et les recommandations générales pour vous protéger : t-mo.co/Protect

Le problème est que ce message ressemble à un euphémisme grossier de ce qui s’est réellement passé. Juste parce que vous n’avez « aucune information » que le SSN d’un client spécifique a été compromis, dans ce cas, c’est probablement une bonne pratique de supposer que c’était le cas et d’agir en conséquence. De plus, tous les clients de T-Mobile n’ont pas reçu de notification par SMS, ce qui les a amenés à se demander s’ils ont été affectés ou non.

En fait, je pense que vous pouvez affirmer que la réponse de T-Mobile parvient à faire quelque chose qui semble presque impensable – cela donne à l’entreprise une apparence pire que le pirate informatique qui a pris les informations en premier lieu. C’est parce que les personnes qui piratent les systèmes de l’entreprise et volent des informations sont des criminels. Nous le savons et nous attendons d’eux qu’ils fassent de mauvaises choses.

Quant aux entreprises auxquelles nous donnons nos informations, nous attendons d’elles qu’elles protègent ces données. Ce n’est pas déraisonnable. Il n’est pas non plus déraisonnable de s’attendre à ce que si quelqu’un vole nos informations, ces entreprises doivent être directes et transparentes sur ce qui s’est passé, ce qu’elles font à ce sujet et les mesures que nous devons prendre. Si vous ne pouvez pas protéger nos informations, dites-nous au moins ce que nous devons faire pour nous protéger.

Le billet de blog de T-Mobile dit tous les mots justes. Par exemple, il explique que l’entreprise « se concentre sans relâche sur la prise en charge de nos clients – cela n’a pas changé. Nous avons travaillé sans relâche pour faire face à cet événement et continuer à vous protéger, ce qui inclut de prendre des mesures immédiates pour protéger tous personnes susceptibles d’être à risque. »

Sauf que si vous vous concentrez sans relâche sur le soin de vos clients, la communication est assez importante. C’est vrai tout le temps, mais surtout lorsque leurs informations personnelles sont en danger.

Si vous souhaitez protéger vos informations personnelles, commencez par vous connecter à votre compte T-Mobile et remplacez votre mot de passe par un mot de passe sécurisé. Même si les noms d’utilisateur et les mots de passe n’ont pas été volés, T-Mobile permet aux utilisateurs d’accéder à leurs comptes avec leurs numéros de téléphone. Si un pirate a votre numéro de téléphone, j’ai déjà expliqué pourquoi c’est une mauvaise nouvelle.

Ensuite, mettez un gel sur vos rapports de crédit. Les trois principaux bureaux de crédit vous permettent de verrouiller vos rapports de sorte que si quelqu’un tente d’ouvrir un crédit en votre nom, il sera bloqué et vous en serez averti. T-Mobile dit également qu’il donne à ses utilisateurs deux ans de protection d’identité de McAfee, qui sert un objectif similaire.

Enfin, T-Mobile propose un service de « Protection contre la prise de contrôle de compte » que vous pouvez ajouter gratuitement à votre compte. Cela empêche quelqu’un de transférer votre numéro de téléphone à un autre opérateur sans votre autorisation.