La société de télécommunications mobiles T-Mobile US, Inc. a révélé jeudi une violation de données qui a compromis environ 37 millions de comptes clients postpayés et prépayés via l'une de ses interfaces de programmation d'application (API) sans autorisation.
Pour ceux qui ne le savent pas, une API est un type d'interface logicielle qui permet à deux applications de communiquer entre elles à l'aide d'un ensemble de définitions et de protocoles.
Dans un dépôt auprès de la Securities and Exchange Commission (SEC) des États-Unis jeudi, T-Mobile a déclaré qu'il pensait que l'attaquant avait d'abord récupéré des données via l'API concernée à partir du 25 novembre 2022 ou vers cette date.
Cependant, la société n'a pu découvrir la violation de données que le 5 janvier 2023. Moins d'une journée après avoir appris l'activité malveillante, T-Mobile a rapidement ouvert une enquête avec des experts externes en cybersécurité et a pu identifier la source de l'activité malveillante. et y mettre un terme dans les 24 heures.
La société a déclaré que ses systèmes et politiques empêchaient l'accès aux types d'informations clients les plus sensibles et que, par conséquent, les comptes et les finances des clients n'étaient pas directement menacés par la violation de données.
De plus, l'API abusée par l'acteur malveillant n'a pas permis à l'attaquant d'accéder aux informations de carte de paiement client (PCI), aux numéros de sécurité sociale/numéros d'identification fiscale, aux permis de conduire ou à d'autres numéros d'identification gouvernementaux, mots de passe/PIN ou autres informations financières. Information sur le compte.
“Au lieu de cela, l'API impactée ne peut fournir qu'un ensemble limité de données de compte client, y compris le nom, l'adresse de facturation, l'e-mail, le numéro de téléphone, la date de naissance, le numéro de compte T-Mobile et des informations telles que le nombre de lignes sur le compte. et les fonctionnalités du plan », a déclaré T-Mobile dans le dossier de la SEC.
“Le résultat préliminaire de notre enquête indique que le ou les acteurs malveillants ont obtenu des données de cette API pour environ 37 millions de comptes clients postpayés et prépayés actuels, bien que nombre de ces comptes n'incluent pas l'ensemble de données complet.”
Dans un communiqué de presse séparé, il a expliqué les données volées lors de l'attaque comme “certaines informations client de base”, qui comprennent le nom, l'adresse de facturation, l'e-mail, le numéro de téléphone, la date de naissance, le numéro de compte et des informations telles que le nombre de lignes. sur les fonctionnalités du compte et du plan de service.
La société continue d'enquêter avec diligence sur l'activité non autorisée et a signalé l'incident à certaines agences fédérales américaines. Il travaille également simultanément avec les forces de l'ordre pour enquêter sur la violation.
De plus, il a commencé à informer les clients dont les informations peuvent avoir été obtenues par le mauvais acteur.
Bien que l'enquête soit toujours en cours, T-Mobile a déclaré qu'il n'y avait aucune preuve que le mauvais acteur ait violé ou compromis son réseau ou ses systèmes et que toutes les activités malveillantes semblent être totalement contenues.
“Notre enquête est toujours en cours, mais l'activité malveillante semble être totalement contenue pour le moment, et il n'y a actuellement aucune preuve que le mauvais acteur ait pu violer ou compromettre nos systèmes ou notre réseau”, a déclaré l'opérateur de téléphonie mobile dans la presse. Libération.
La société n'a pas révélé dans son dossier SEC ou son communiqué de presse exactement quel type de faille API a été exploité par les mauvais acteurs. Cependant, il a mentionné dans le dossier de la SEC que T-Mobile pourrait engager des dépenses importantes en rapport avec cet incident.
Il s'agit de la huitième violation de données subie par T-Mobile depuis 2018. En juillet 2022, l'opérateur de téléphonie mobile a accepté de payer 350 millions de dollars pour régler un recours collectif consolidé lié à une violation de données de 2021 qui a révélé les informations de plus de 76 millions de personnes. Il avait également promis 150 millions de dollars supplémentaires pour les mises à niveau de sécurité.
