昨日、モバイルの巨人 T-Mobile は、11 月 26 日に始まったデータ侵害に見舞われ、前払いと後払いの両方のアカウントで 3,700 万人の現在の顧客に影響を与えたと述べました。 同社は声明で述べた 米国証券取引委員会への提出 「悪意のある人物」が同社のアプリケーション プログラミング インターフェース (API) の 1 つを操作して、顧客の名前、電子メール アドレス、電話番号、請求先住所、生年月日、アカウント番号、およびサービス プランの詳細を盗んだとのことです。 最初の侵入は 11 月末に発生し、T-Mobile は 1 月 5 日にその活動を発見しました。
T-Mobile は、米国最大のモバイル キャリアの 1 つです。 推定 1億人以上の顧客を持つこと。 しかし、過去 10 年間で、同社は他のセキュリティ インシデントと並んでデータ侵害が繰り返されるという評判を築いてきました。 同社は2021年に大規模な侵害に見舞われ、 2 違反 2020 年に 1 人に 1 人 2019年、および別の 2018年. ほとんどの大企業はデジタル セキュリティに苦労しており、誰もデータ侵害に無防備ではありませんが、T-Mobile は Yahoo のような企業に度重なる侵害のパンテオンでアプローチしているようです。
セキュリティ会社の応用研究部門でフィールド最高技術責任者を務めるチェスター・ウィスニエフスキー氏は、次のように述べています。ソフォス。 「また、犯罪者が発見されるまでに 1 か月以上にわたって T-Mobile のシステムにいたことも懸念されます。 これは、モバイル ネットワーク オペレーターのような大企業に見られるように、T-Mobile の防御が最新のセキュリティ監視および脅威ハンティング チームを利用していないことを示唆しています。」
API (2 つのソフトウェア プログラム間の通信を容易にするインターフェイス) の制限により、攻撃者は、社会保障番号や納税者番号、運転免許証データ、パスワードと PIN、または支払いカード データなどの財務情報にアクセスできませんでした。 しかし、そのようなデータは、2021 年 8 月のものを含め、他の最近の T-Mobile 侵害で侵害されました。2022 年 7 月、T-Mobile は、顧客への 3 億 5,000 万ドルを含む取引で、その侵害に関する集団訴訟を和解することに同意しました。 当時、同社は、デジタル セキュリティとデータ防御を改善するための 2 年間で 1 億 5,000 万ドルのイニシアチブにもコミットしていました。
T-Mobile は WIRED からの複数のコメント要請に応じなかったが、2021 年に SEC の開示で次のように書いている。サイバーセキュリティ。 これまでに大幅な進歩を遂げており、顧客のデータを保護することは引き続き最優先事項です。」
同社の米国を拠点とする顧客の約 3 分の 1 のデータが流出した最近のインシデントを考えると、明らかに十分ではありませんでした。
「T-Mobile はこれらをいくつ持つ必要がありますか?」 長年のインシデント対応者であり、Institute for Applied Network Security のアナリストである Jake Williams は疑問に思いました。 「API セキュリティは、人々が本当に注目し始めたばかりですが、それは間違いでした。 API の悪用を検出することは容易ではありません。脅威アクターの動きが遅くゆっくりしている場合は特にそうです。 私は、単純に検出されない一般的なこれらのものが多数あるのではないかと考えています。 しかし、肝心なのは、T-Mobile の API セキュリティには明らかに改善が必要だということです。 大量の API の乱用を 6 週間以上続けるべきではありません。」