T-Mobile Data Breach oblige les clients à modifier leurs mots de passe
Au cours du week-end, les clients de T-Mobile ont commencé à recevoir des SMS qui les inquiètaient beaucoup. Leur fournisseur de télécommunication a subi une violation de données, ce qui a entraîné un accès non autorisé aux informations sur les clients, a indiqué le bref message. L'attaque avait déjà été stoppée et la compagnie de téléphone a rapidement signalé que les pirates informatiques ne volaient aucun numéro de sécurité sociale, mot de passe ou information financière. Les utilisateurs souhaitant en savoir plus ont été invités à suivre un lien. Certains d'entre vous ont peut-être déjà remarqué quelques problèmes.
Table of Contents
Une alerte phishy
Tout d'abord, T-Mobile n'avait pas officiellement annoncé de brèche à l'époque, ce qui a rendu certaines personnes suspectes. Lorsqu'ils ont consulté les réseaux sociaux pour savoir s'ils pouvaient comprendre ce qui se passait, ils ont compris que tous les clients de T-Mobile n'avaient pas reçu le même message texte. Et ils ont décidé de recourir aux médias sociaux car au lieu de leur demander de contacter un agent de support T-Mobile par téléphone, le message texte a demandé aux utilisateurs de suivre une URL raccourcie pour plus de détails.
Dans l’ensemble, les utilisateurs de T-Mobile SMS avaient quelques points communs avec les messages frauduleux qui les avertissaient depuis des années. Il y avait cependant une différence cruciale: ce n'était pas un message frauduleux.
T-Mobile a vraiment souffert d'une violation de données
Les tweets et les messages ont attiré l'attention d'Alex Wagner de TmoNews.com, qui a posé des questions et a appris que le message texte n'était pas une arnaque. T-Mobile avait vraiment subi une violation de données.
L'URL raccourci du SMS mène à une page qui fournit un bref compte-rendu de ce qui s'est passé. Apparemment, après avoir enfreint les systèmes de la compagnie de téléphone, les pirates ont réussi à accéder aux données personnelles de certains clients prépayés de T-Mobile. Les informations volées incluent les noms, adresses de facturation, numéros de téléphone, numéros de compte ainsi que d'autres données relatives aux services auxquels les utilisateurs concernés ont souscrit. La page confirme une fois de plus que les responsables de la sécurité de T-Mobile ont mis un terme à l'attaque et que rien de particulièrement sensible n'a été compromis.
Les utilisateurs sont informés qu'ils peuvent envisager de modifier leurs codes confidentiels et leurs mots de passe au cas où, et cette fois-ci, ils sont assurés que s'ils appellent l'un des numéros de l'assistance clientèle de T-Mobile, ils seront en mesure d'obtenir toutes les informations dont ils ont besoin.
Tout bien considéré, cela ne ressemble pas à la pire violation au monde. Même dans ce cas, T-Mobile n’est pas mis en valeur de manière optimale.
Le traitement de la question par T-Mobile n'était guère exemplaire
Les utilisateurs ont vite compris qu'ils n'étaient pas visés par une attaque de phishing par SMS et étaient probablement soulagés d'apprendre que les pirates informatiques ne pouvaient voler aucune information particulièrement sensible. Ceux qui s'intéressent activement à la cybersécurité verront probablement les erreurs commises par T-Mobile.
Comme nous l’avons déjà mentionné, un message texte bref et vague n’est pas vraiment le meilleur moyen de révéler l’actualité, et l’URL raccourcie qu’il contient est une idée carrément terrible.. À tout le moins, le SMS aurait dû être accompagné d'une déclaration publique diffusée par les voies traditionnelles.
Dans un monde idéal, ladite déclaration publique comprendrait beaucoup plus d'informations que ce que T-Mobile nous a fourni à la suite de cette violation. Par exemple, ni l'alerte SMS ni la page à laquelle elle renvoie ne donnent aux utilisateurs une idée de l'ampleur de la violation. Même après que TmoNews.com a demandé combien de personnes étaient touchées, la réponse n'était pas précise: "un très petit pourcentage à un chiffre".
Le fait que le nombre de personnes à qui les données personnelles ont été exposées n’est pas très grand n’est pas une excuse pour le manque de transparence en ce qui concerne le signalement d’un incident de ce type. Espérons que T-Mobile et les autres fournisseurs de services apprendront cela.