La violazione dei dati di T-Mobile impone ai clienti di modificare le password
Durante il fine settimana, i clienti di T-Mobile hanno iniziato a ricevere messaggi di testo che li hanno preoccupati. Il loro fornitore di telecomunicazioni aveva subito una violazione dei dati, che ha provocato un accesso non autorizzato alle informazioni sui clienti, afferma il breve messaggio. L'attacco era già stato fermato e il telco ha fatto subito notare che gli hacker non hanno rubato numeri di previdenza sociale, password o informazioni finanziarie. Gli utenti che volevano saperne di più sono stati invitati a seguire un link. Alcuni di voi potrebbero aver già individuato alcuni problemi.
Table of Contents
Un avviso dall'aspetto ficcanaso
Prima di tutto, T-Mobile non aveva ufficialmente annunciato una violazione al momento, il che ha reso alcune persone sospette. Quando hanno raggiunto i social network per vedere se potevano capire cosa stava succedendo, si sono resi conto che non tutti i clienti di T-Mobile avevano ricevuto lo stesso messaggio di testo. E hanno deciso di ricorrere ai social media perché invece di dire loro di contattare un agente dell'assistenza T-Mobile al telefono, il messaggio di testo diceva agli utenti di seguire un URL abbreviato per maggiori dettagli.
Tutto sommato, gli utenti di SMS T-Mobile hanno avuto alcune cose in comune con i messaggi di truffa di cui le persone sono state avvisate per anni. C'era una differenza cruciale, però: non era un messaggio di truffa.
T-Mobile ha davvero subito una violazione dei dati
I tweet e i post hanno attirato l'attenzione di Alex Wagner di TmoNews.com, che ha posto alcune domande e ha appreso che il messaggio di testo non era una truffa. T-Mobile aveva davvero subito una violazione dei dati.
L'URL abbreviato dall'SMS porta a una pagina che fornisce un breve resoconto di ciò che è accaduto. Apparentemente, dopo aver violato i sistemi di Telco, gli hacker sono riusciti ad accedere ai dettagli personali di alcuni dei clienti prepagati di T-Mobile. Le informazioni rubate includono nomi, indirizzi di fatturazione, numeri di telefono, numeri di conto e altri dati relativi ai servizi a cui gli utenti interessati hanno sottoscritto l'abbonamento. La pagina conferma ancora una volta che gli addetti alla sicurezza di T-Mobile hanno fermato l'attacco e che nulla di particolarmente sensibile è stato compromesso.
Agli utenti viene detto che possono prendere in considerazione la possibilità di cambiare PIN e password per ogni evenienza e, questa volta, hanno la certezza che se chiamano uno dei numeri dell'assistenza clienti di T-Mobile, saranno in grado di ottenere tutte le informazioni di cui hanno bisogno.
Tutto considerato, questa non sembra la peggiore breccia nel mondo. Anche così, non mette T-Mobile sotto la migliore luce possibile.
La gestione del problema da parte di T-Mobile non era affatto esemplare
Non ci volle molto perché gli utenti capissero che non erano stati presi di mira da un attacco di phishing su SMS e probabilmente furono sollevati nello scoprire che gli hacker non potevano rubare informazioni particolarmente sensibili. Coloro che sono stati attivamente interessati alla sicurezza informatica probabilmente vedranno gli errori commessi da T-Mobile.
Come abbiamo già accennato, un breve messaggio di testo vagamente non è esattamente il modo migliore per comunicare la notizia, e l'URL abbreviato incluso in esso è un'idea davvero terribile. Per lo meno, l'SMS avrebbe dovuto essere accompagnato da una dichiarazione pubblica diffusa attraverso i canali tradizionali.
In un mondo ideale, la suddetta dichiarazione pubblica includerebbe molte più informazioni rispetto a ciò che T-Mobile ci ha fornito a seguito di questa violazione. Ad esempio, né l'avviso SMS né la pagina collegata per dare agli utenti un'idea di quanto fosse grande la violazione. Anche dopo che TmoNews.com ha chiesto quante persone sono state colpite, la risposta non era esattamente specifica: "una percentuale molto piccola di una cifra".
Il fatto che il numero di persone a cui sono stati esposti i propri dati personali non sia molto elevato non dovrebbe essere una scusa per la mancanza di trasparenza quando si tratta di segnalare un incidente di questo tipo. Si spera che T-Mobile e altri fornitori di servizi lo imparino.
