Géant de la communication T Mobile a déclaré aujourd’hui qu’il enquêtait sur l’étendue d’une violation qui, selon les pirates, a exposé des données personnelles sensibles sur 100 millions de clients T-Mobile USA, dans de nombreux cas, y compris le nom, le numéro de sécurité sociale, l’adresse, la date de naissance, le numéro de téléphone, les codes PIN de sécurité et détails qui identifient de manière unique l’appareil mobile de chaque client.
Dimanche, Vice.com a annoncé la nouvelle que quelqu’un vendait des données sur 100 millions de personnes et que les données provenaient de T-Mobile. Dans une déclaration publié sur son site Web aujourd’hui, la société a confirmé qu’elle avait subi une intrusion impliquant « certaines données T-Mobile », mais a déclaré qu’il était trop tôt dans son enquête pour savoir ce qui avait été volé et combien de clients pourraient être affectés.
« Nous avons déterminé qu’un accès non autorisé à certaines données de T-Mobile s’est produit, mais nous n’avons pas encore déterminé qu’il existe des données personnelles de clients impliquées », a écrit T-Mobile.
« Nous sommes convaincus que le point d’entrée utilisé pour accéder a été fermé, et nous poursuivons notre examen technique approfondi de la situation dans nos systèmes afin d’identifier la nature de toute donnée consultée illégalement », poursuit le communiqué. « Cette enquête prendra du temps mais nous travaillons avec la plus grande urgence. Jusqu’à ce que nous ayons terminé cette évaluation, nous ne pouvons pas confirmer le nombre signalé de dossiers concernés ou la validité des déclarations faites par d’autres.
L’intrusion a été révélée sur Twitter lorsque le compte @und0xxed commencé à tweeter les détails. Contacté par message direct, Und0xxed a déclaré qu’il n’était pas impliqué dans le vol des bases de données, mais qu’il était plutôt chargé de trouver des acheteurs pour les données client volées de T-Mobile.
Und0xxed a déclaré que les pirates avaient trouvé une ouverture dans le réseau de données sans fil de T-Mobile qui permettait d’accéder à deux des centres de données clients de T-Mobile. À partir de là, les intrus ont pu vider un certain nombre de bases de données clients totalisant plus de 100 gigaoctets.
Ils affirment que l’une de ces bases de données contient le nom, la date de naissance, le SSN, les informations sur le permis de conduire, le code PIN de sécurité en clair, l’adresse et le numéro de téléphone de 36 millions de clients T-Mobile aux États-Unis – tous remontant au milieu des années 1990.
Le ou les pirates affirment que les données volées incluent également Données IMSI et IMEI pour 36 millions de clients. Il s’agit de numéros uniques intégrés dans les appareils mobiles des clients qui identifient l’appareil et la carte SIM qui relie l’appareil de ce client à un numéro de téléphone.
« Si vous voulez vérifier que j’ai accès aux données/les données sont réelles, donnez-moi simplement un numéro T-Mobile et je lancerai une recherche pour vous et renverrai l’IMEI et l’IMSI du téléphone actuellement attaché au numéro et tout autre détail », a déclaré @und0xxed. «Tous les clients prépayés et postpayés de T-Mobile USA sont concernés; Sprint et les autres télécoms que possède T-Mobile ne sont pas affectés. »
Parmi les autres bases de données auxquelles les intrus auraient accédé, il y en avait une pour les comptes prépayés, qui contenait beaucoup moins de détails sur les clients.
« Les clients prépayés ne sont généralement que des numéros de téléphone et IMEI et IMSI », a déclaré Und0xxed. «De plus, la collection de bases de données comprend des entrées historiques, et de nombreux numéros de téléphone ont 10 ou 20 IMEI qui leur sont attachés au fil des ans, et les dates de service sont fournies. Il existe également une base de données qui comprend les numéros de carte de crédit avec six chiffres des cartes obscurcies.
T-Mobile a refusé de commenter au-delà de ce que la société a déclaré dans son article de blog aujourd’hui.
En 2015, une brèche informatique dans les trois grands bureaux de crédit Expérian a exposé les numéros de sécurité sociale et d’autres données sur 15 millions de personnes qui ont demandé un financement à T-Mobile.
Comme d’autres fournisseurs de téléphonie mobile, T-Mobile est enfermé dans une bataille constante avec des escrocs qui ciblent ses propres employés dans des attaques d’échange de carte SIM et d’autres techniques pour arracher le contrôle des comptes des employés qui peuvent fournir un accès détourné aux données des clients. Dans au moins un cas, des employés de magasins de détail ont été complices des prises de contrôle de compte.
QUI A HACKÉ T-MOBILE ?
Le profil Twitter du compte @Und0xxed inclut un dédicace à @IntelSecretsle compte Twitter d’un hacker assez insaisissable qui est également passé par les poignées IRDev et V0rtex. Lorsqu’on lui a demandé si @IntelSecrets était impliqué dans l’intrusion de T-Mobile, @und0xxed a confirmé que c’était le cas.
Les surnoms IntelSecrets correspondent à un individu qui a revendiqué la modification du code source du botnet Mirai « Internet des objets » pour créer une variante connue sous le nom de « Satori», et de le fournir à d’autres qui l’ont utilisé à des fins criminelles et ont ensuite été arrêtés et poursuivis. Comme Kenny « NexusZeta » Schuchmann, qui a plaidé coupable en 2019 d’avoir exploité le botnet Satori. Deux autres jeunes hommes ont été inculpés en relation avec Satori – mais pas IntelSecrets.
Comment savons-nous tout cela sur IntelSecrets/IRDev/V0rtex ? Cette identité a été reconnue dans une série de poursuites bizarres intentées par une personne qui prétend que son vrai nom est John Erin Binn. La même identité Binns exploite le site Web secrets secrets[.]su.
Sur ce site, Binns affirme qu’il s’est enfui en Allemagne et en Turquie pour échapper aux poursuites dans l’affaire Satori, avant d’être kidnappé en Turquie et soumis à diverses formes de torture psychologique et physique. Selon Binns, le Agence centrale de renseignement des États-Unis (CIA) a faussement dit à leurs homologues en Turquie qu’il était un partisan ou un membre de l’État islamique (ISIS), une affirmation qui, selon lui, a conduit à sa capture et à sa torture présumées par les Turcs.
Depuis lors, Binns a déposé un déluge de poursuites en nommant diverses agences fédérales – y compris le FBIla CIAet le Commandement des opérations spéciales des États-Unis (PDF), exigeant que le gouvernement remette les informations recueillies à son sujet et demandant réparation pour son enlèvement présumé aux mains de la CIA.
Parler au chercheur Alon gal (@underthebreach), les pirates responsables de l’intrusion de T-Mobile ont déclaré qu’ils l’avaient fait pour « exercer des représailles contre les États-Unis pour l’enlèvement et la torture de John Erin Binns en Allemagne par la CIA et des agents de renseignement turcs en 2019. Nous l’avons fait pour nuire à l’infrastructure américaine. ”
Mise à jour, 18 août, 9 h 15 HE : Dans un article de blog lundi soir, T-Mobile a reconnu qu’une violation de données avait révélé les noms, la date de naissance, le numéro de sécurité sociale et les informations sur le permis de conduire/carte d’identité de plus de 40 millions de clients actuels, anciens ou potentiels.