Οι παραβιάσεις δεδομένων της T-Mobile αναγκάζουν τους πελάτες να αλλάξουν τους κωδικούς τους
Κατά τη διάρκεια του Σαββατοκύριακου, οι πελάτες της T-Mobile άρχισαν να λαμβάνουν μηνύματα κειμένου που τους άρεσαν πολύ. Ο πάροχος τηλεπικοινωνιών τους υπέστη παραβίαση δεδομένων, η οποία οδήγησε σε μη εξουσιοδοτημένη πρόσβαση σε πληροφορίες πελατών, ανέφερε το σύντομο μήνυμα. Η επίθεση είχε ήδη σταματήσει και ο τηλεφωνικός σταθμός έσπευσε να επισημάνει ότι οι χάκερ δεν κλέβουν αριθμούς κοινωνικής ασφάλισης, κωδικούς πρόσβασης ή οικονομικές πληροφορίες. Οι χρήστες που ήθελαν να μάθουν περισσότερα κλήθηκαν να ακολουθήσουν μια σύνδεση. Κάποιοι από εσάς ίσως έχουν ήδη εντοπίσει μερικά προβλήματα.
Table of Contents
Μια ειλικρινή ειδοποίηση
Πρώτα απ 'όλα, η T-Mobile δεν είχε ανακοινώσει επίσημα μια παραβίαση εκείνη την εποχή, η οποία υπονόμευε μερικούς ανθρώπους. Όταν έφτασαν στα κοινωνικά δίκτυα για να δουν αν μπορούν να καταλάβουν τι συμβαίνει, συνειδητοποίησαν ότι δεν έλαβε το ίδιο μήνυμα κειμένου από κάθε πελάτη της T-Mobile. Και αποφάσισαν να καταφύγουν σε κοινωνικά μέσα, επειδή αντί να τους λένε να έρθουν σε επαφή με έναν πράκτορα υποστήριξης της T-Mobile μέσω τηλεφώνου, το μήνυμα κειμένου είπε στους χρήστες να ακολουθήσουν μια συντομευμένη διεύθυνση URL για περισσότερες λεπτομέρειες.
Συνολικά, οι χρήστες του SMS T-Mobile έλαβαν αρκετά κοινά πράγματα με τα μηνύματα απάτης που έχουν προειδοποιήσει τα άτομα εδώ και χρόνια. Υπήρχε όμως μια κρίσιμη διαφορά, αν και δεν ήταν ένα μήνυμα απάτης.
Η T-Mobile υπέστη πραγματικά παραβίαση δεδομένων
Τα tweets και οι θέσεις έδιναν την προσοχή του Alex Wagner από το TmoNews.com, ο οποίος έθεσε μερικές ερωτήσεις και έμαθε ότι το μήνυμα κειμένου δεν ήταν απάτη. Η T-Mobile είχε πραγματικά παραβιάσει τα δεδομένα.
Η συντομευμένη διεύθυνση URL από το SMS οδηγεί σε μια σελίδα που παρέχει μια σύντομη περιγραφή του τι συνέβη. Προφανώς, μετά την παραβίαση των συστημάτων της τηλεόρασης, οι χάκερ κατάφεραν να έχουν πρόσβαση στις προσωπικές λεπτομέρειες ορισμένων προπληρωμένων πελατών της T-Mobile. Οι κλεμμένες πληροφορίες περιλαμβάνουν τα ονόματα, τις διευθύνσεις χρέωσης, τους αριθμούς τηλεφώνου, τους αριθμούς λογαριασμού καθώς και άλλα δεδομένα σχετικά με τις υπηρεσίες στις οποίες έχουν συνδεθεί οι χρήστες. Η σελίδα επιβεβαιώνει για μία ακόμη φορά ότι οι άνθρωποι ασφαλείας της T-Mobile έχουν σταματήσει την επίθεση και ότι τίποτα δεν είναι ιδιαίτερα ευαίσθητο.
Οι χρήστες λένε ότι μπορούν να εξετάσουν το ενδεχόμενο να αλλάξουν τα PIN και τους κωδικούς πρόσβασής τους σε αυτή την περίπτωση και αυτή τη φορά είναι βέβαιοι ότι αν καλέσουν έναν από τους αριθμούς υποστήριξης πελατών της T-Mobile, θα έχουν τη δυνατότητα να λάβουν όλες τις πληροφορίες που χρειάζονται.
Όλα τα πράγματα που εξετάζονται, αυτό δεν μοιάζει με τη χειρότερη παραβίαση στον κόσμο. Παρόλα αυτά, δεν θέτει την T-Mobile στο καλύτερο δυνατό φως.
Η διαχείριση του θέματος από την T-Mobile ήταν ελάχιστα υποδειγματική
Δεν χρειάστηκε πολύς χρόνος για να καταλάβουν οι χρήστες ότι δεν είχαν στοχεύσει μια επίθεση μέσω ηλεκτρονικού ταχυδρομείου μέσω ηλεκτρονικού "ψαρέματος" (phishing over SMS) και μάλλον ανακουφίστηκαν για να διαπιστώσουν ότι οι χάκερ δεν θα μπορούσαν να κλέψουν ιδιαίτερα ευαίσθητες πληροφορίες. Όσοι ενδιαφέρονται ενεργά για την ασφάλεια στον κυβερνοχώρο πιθανώς θα δουν τα λάθη που έκανε η T-Mobile.
Όπως αναφέραμε ήδη, ένα σύντομο και αόριστα διατυπωμένο γραπτό μήνυμα δεν είναι ακριβώς ο καλύτερος τρόπος για να σπάσει τα νέα και η συντομευμένη διεύθυνση URL που περιλαμβάνεται σε αυτό είναι μια απολύτως τρομερή ιδέα. Τουλάχιστον, το SMS έπρεπε να συνοδεύεται από μια δημόσια δήλωση που διαδόθηκε μέσω των παραδοσιακών καναλιών.
Σε έναν ιδανικό κόσμο, η εν λόγω δημόσια δήλωση θα περιλάμβανε πολύ περισσότερες πληροφορίες από ό, τι μας έδωσε η T-Mobile μετά από αυτήν την παραβίαση. Για παράδειγμα, ούτε η ειδοποίηση SMS ούτε η σελίδα που συνδέει για να δώσει στους χρήστες κάποια ιδέα πόσο μεγάλη είναι η παραβίαση. Ακόμη και μετά το ερώτημα του πόσοι άνθρωποι επηρεάστηκαν από την TmoNews.com, η απάντηση δεν ήταν ακριβώς συγκεκριμένη: "ένα πολύ μικρό ψηφίο".
Το γεγονός ότι ο αριθμός των ατόμων που έχουν εκτεθεί τα προσωπικά τους δεδομένα δεν είναι πολύ μεγάλος δεν θα πρέπει να αποτελεί δικαιολογία για την έλλειψη διαφάνειας όσον αφορά την αναφορά περιστατικού αυτού του τύπου. Ας ελπίσουμε ότι τόσο η T-Mobile όσο και άλλοι πάροχοι υπηρεσιών θα το μάθουν.
