Más de 50 millones de clientes de T-Mobile se vieron afectados por el ataque y se accedió a unos 48 millones de números de seguridad social.
T-Mobile, una de las compañías de telecomunicaciones más grandes de EE. UU., Fue pirateada hace casi dos semanas , exponiendo la información confidencial de más de 50 millones de clientes actuales, anteriores y potenciales.
Se accedió a los nombres, direcciones, números de seguro social, licencias de conducir e información de identificación de aproximadamente 48 millones de personas en el ataque, que inicialmente salió a la luz el 16 de agosto.
Aquí está todo lo que sabemos hasta ahora.
¿Qué es T-Mobile?
T-Mobile es una subsidiaria de la compañía de telecomunicaciones alemana Deutsche Telekom AG que brinda servicios inalámbricos de voz, mensajería y datos a clientes en docenas de países.
En los EE. UU., La compañía tiene más de 104 millones de clientes y se convirtió en la segunda compañía de telecomunicaciones más grande detrás de Verizon después de su fusión de $ 26 mil millones con Sprint en 2018.
¿Cuántas personas se ven afectadas por el hackeo?
T-Mobile emitió un comunicado la semana pasada confirmando que los nombres, fechas de nacimiento, números de seguro social, licencias de conducir, números de teléfono, así como información de IMEI e IMSI de aproximadamente 7.8 millones de clientes habían sido robados en la infracción.
A otros 40 millones de clientes anteriores o potenciales se les filtraron sus nombres, fechas de nacimiento, números de seguro social y licencias de conducir.
Más de 5 millones de “cuentas de clientes actuales de pospago” también tenían información como nombres, direcciones, fecha de nacimiento, números de teléfono, IMEI e IMSI accedidos ilegalmente.
T-Mobile dijo que se robaron la información de otras 667.000 cuentas de antiguos clientes de T-Mobile junto con un grupo de 850.000 clientes activos de prepago de T-Mobile, cuyos nombres, números de teléfono y PIN de cuentas fueron expuestos.
Es posible que también se haya accedido a los nombres de 52,000 personas con cuentas de Metro by T-Mobile, según T-Mobile.
¿Quién atacó a T-Mobile?
Un ciudadano estadounidense de 21 años llamado John Binns dijo a The Wall Street Journal y a Alon Gal , cofundador de la firma de inteligencia contra el ciberdelito Hudson Rock, que él es el principal culpable del ataque.
Su padre, que murió cuando él tenía dos años, era estadounidense y su madre es turca. Él y su madre regresaron a Turquía cuando Binns tenía 18 años.
¿Cómo sucedió el ataque?
Binns, quien nació en Estados Unidos pero ahora vive en Izmir, Turquía, dijo que llevó a cabo el ataque desde su casa. A través de Telegram, Binns proporcionó pruebas al Wall Street Journal que demostraban que estaba detrás del ataque de T-Mobile y les dijo a los periodistas que originalmente obtuvo acceso a la red de T-Mobile a través de un enrutador desprotegido en julio.
Según el Wall Street Journal, había estado buscando brechas en las defensas de T-Mobile a través de sus direcciones de Internet y obtuvo acceso a un centro de datos cerca de East Wenatchee, Washington, donde pudo explorar más de 100 de los servidores de la compañía. A partir de ahí, tomó aproximadamente una semana obtener acceso a los servidores que contenían los datos personales de millones. El 4 de agosto había robado millones de archivos.
“Entré en pánico porque tenía acceso a algo grande. Su seguridad es terrible”, dijo Binns al Wall Street Journal. “Generar ruido era uno de los objetivos”.
Binns también habló con Motherboard y Bleeping Computer para explicar algunas dinámicas del ataque.
Le dijo a Bleeping Computer que obtuvo acceso a los sistemas de T-Mobile a través de “servidores de producción, preparación y desarrollo hace dos semanas”. Hackeó un servidor de base de datos de Oracle que contenía datos de clientes.
Para demostrar que era real, Binns compartió una captura de pantalla de su conexión SSH a un servidor de producción que ejecuta Oracle con reporteros de Bleeping Computer. No intentaron rescatar a T-Mobile porque ya tenían compradores en línea, según su entrevista con el medio de comunicación.
En su entrevista con Motherboard , dijo que había robado los datos de los servidores de T-Mobile y que T-Mobile finalmente logró expulsarlo de los servidores violados, pero no antes de que se hubieran hecho copias de los datos.
En un foro clandestino, se encontró a Binns y otros vendiendo una muestra de los datos con 30 millones de números de seguro social y licencias de conducir por 6 Bitcoin, según Motherboard y Bleeping Computer.
El director ejecutivo de T-Mobile, Mike Sievert, explicó que el pirata informático detrás del ataque “aprovechó su conocimiento de los sistemas técnicos, junto con herramientas y capacidades especializadas, para obtener acceso a nuestros entornos de prueba y luego utilizó ataques de fuerza bruta y otros métodos para abrirse camino en otros Servidores de TI que incluían datos de clientes “.
“En resumen, la intención de este individuo era entrar y robar datos, y lo lograron”, dijo Sievert.
Binns afirmó que robó 106 GB de datos, pero no está claro si eso es cierto.
¿Por qué lo hizo Binns?
El nativo de Virginia de 21 años le dijo al Wall Street Journal y a otros medios que las agencias policiales estadounidenses lo han atacado por su presunta participación en la conspiración de la botnet Satori .
Afirma que las agencias estadounidenses lo secuestraron en Alemania y Turquía y lo torturaron. Binns presentó una demanda en un tribunal de distrito contra el FBI, la CIA y el Departamento de Justicia en noviembre, donde dijo que estaba siendo investigado por varios delitos cibernéticos y por presuntamente ser parte del grupo militante Estado Islámico, un cargo que niega.
“No tengo ninguna razón para inventar una historia de secuestro falsa y espero que alguien dentro del FBI filtre información sobre eso”, explicó en sus mensajes al Wall Street Journal.
La demanda incluye una variedad de afirmaciones de Binns de que la CIA irrumpió en sus hogares y escuchó sus computadoras como parte de una investigación más amplia sobre sus presuntos delitos cibernéticos. Presentó la demanda en un Tribunal de Distrito de Washington DC.
Antes de ser identificado oficialmente, Binns le envió a Gal un mensaje que se compartió en Twitter.
“La violación se realizó para tomar represalias contra Estados Unidos por el secuestro y tortura de John Erin Binns (CIA Raven-1) en Alemania por parte de agentes de inteligencia turcos y de la CIA en 2019. Lo hicimos para dañar la infraestructura de Estados Unidos”, decía el mensaje, según a Gal.
¿Binns fue el único que llevó a cabo el ataque?
No confirmó si los datos que robó ya se vendieron o si alguien más le pagó para piratear T-Mobile en su entrevista con The Wall Street Journal.
Si bien Binns no dijo explícitamente que trabajó con otros en el ataque, admitió que necesitaba ayuda para adquirir credenciales de inicio de sesión para bases de datos dentro de los sistemas de T-Mobile.
Algunos medios de comunicación han informado que Binns no fue la única persona que vendió los datos robados de T-Mobile.
¿Cuándo descubrió T-Mobile el ataque?
La historia del Wall Street Journal señaló que T-Mobile fue notificada inicialmente de la violación por una compañía de ciberseguridad llamada Unit221B LLC, que dijo que los datos de sus clientes se estaban comercializando en la web oscura.
T-Mobile le dijo a ZDNet el 16 de agosto que estaba investigando las afirmaciones iniciales de que los datos de los clientes se vendían en la web oscura y, finalmente, emitió una larga declaración en la que explicaba que, si bien el ataque no involucró a los 100 millones de sus clientes, al menos la mitad lo había hecho. su información involucrada en el hack.
¿Está involucrada la aplicación de la ley?
El director ejecutivo de T-Mobile, Mike Sievert, dijo el 27 de agosto que no podía compartir más información sobre los detalles técnicos del ataque porque están “coordinando activamente con la policía en una investigación criminal”.
No está claro qué agencias están trabajando en el caso y T-Mobile no respondió a las preguntas sobre esto.
¿Qué está haciendo T-Mobile con respecto al hack?
Sievert explicó que la compañía contrató a Mandiant para realizar una investigación sobre el incidente.
“A partir de hoy, hemos notificado a casi todos los clientes actuales de T-Mobile o titulares de cuentas principales que tenían datos como el nombre y la dirección actual, el número de seguro social o el número de identificación del gobierno comprometidos”, dijo en un comunicado.
T-Mobile también colocará un banner en la página de inicio de sesión de la cuenta MyT-Mobile.com de otras personas para informarles si no se vieron afectados por el ataque.
Sievert admitió que la compañía todavía está en el proceso de notificar a los clientes anteriores y potenciales, a millones de los cuales también les robaron su información.
Además de ofrecer solo dos años de servicios gratuitos de protección de identidad con el servicio de protección contra robo de identidad de McAfee, T-Mobile dijo que estaba recomendando a los clientes que se inscriban en la “protección gratuita de bloqueo de estafas de T-Mobile a través de Scam Shield”.
La compañía también ofrecerá “Protección contra la apropiación de cuentas” a los clientes de pospago, lo que, según dijeron, hará más difícil que las cuentas de los clientes sean transferidas y robadas de manera fraudulenta. Instaron a los clientes a restablecer también todas las contraseñas y números PIN.
Sievert también anunció que T-Mobile había firmado “asociaciones a largo plazo” con Mandiant y KPMG LLG para reforzar su ciberseguridad y darle al gigante de las telecomunicaciones la “potencia de fuego” necesaria para mejorar su capacidad de proteger a los clientes de los ciberdelincuentes.
“Como mencioné anteriormente, Mandiant ha sido parte de nuestra investigación forense desde el inicio del incidente, y ahora estamos ampliando nuestra relación para aprovechar la experiencia que han adquirido en la primera línea de violaciones de datos a gran escala y utilizar su soluciones de seguridad escalables para ser más resistentes a futuras amenazas cibernéticas “, agregó Sievert.
“Ellos nos apoyarán mientras desarrollamos un plan estratégico inmediato y de largo plazo para mitigar y estabilizar los riesgos de ciberseguridad en toda nuestra empresa. Al mismo tiempo, nos asociamos con la consultora KPMG, un líder mundial reconocido en consultoría de ciberseguridad. El equipo de ciberseguridad de KPMG aportará su profunda experiencia y enfoque interdisciplinario para realizar una revisión exhaustiva de todas las políticas de seguridad de T-Mobile y la medición del desempeño. Se enfocarán en los controles para identificar brechas y áreas de mejora “.
Tanto Mandiant como KPMG trabajarán juntos para esbozar un plan para que T-Mobile aborde sus brechas de ciberseguridad en el futuro.
¿Le ha pasado esto a T-Mobile antes?
Ningún ataque de este tamaño ha afectado a T-Mobile antes, pero la compañía ha sido atacada varias veces.
Antes del ataque hace dos semanas, la compañía había anunciado cuatro violaciones de datos en los últimos tres años. La compañía reveló una infracción en enero después de los incidentes de agosto de 2018, noviembre de 2019 y marzo de 2020.
La investigación sobre el incidente de enero encontró que los piratas informáticos accedieron a alrededor de 200,000 detalles de clientes, como números de teléfono, la cantidad de líneas suscritas a una cuenta y, en algunos casos, información relacionada con las llamadas, que T-Mobile dijo que recopiló como parte del funcionamiento normal de su servicio inalámbrico.
Las infracciones anteriores incluyeron un incidente de marzo de 2020 en el que T-Mobile dijo que los piratas informáticos obtuvieron acceso a los datos de sus empleados y clientes, incluidas las cuentas de correo electrónico de los empleados, un incidente de noviembre de 2019 en el que T-Mobile dijo que “descubrió y cerró” el acceso no autorizado a los datos personales de sus clientes y un incidente de agosto de 2018 en el que T-Mobile dijo que los piratas informáticos obtuvieron acceso a los datos personales de 2 millones de sus clientes.
Antes de fusionarse con T-Mobile en 2020, Sprint también reveló dos brechas de seguridad en 2019, una en mayo y una segunda en julio .
¿Que pasa ahora?
Binns no ha dicho si vendió los datos que robó, pero le dijo a Bleeping Computer que ya había varios compradores potenciales.
Fuente: www.zdnet.com