Cómo los piratas informáticos robaron los datos personales de 37 millones de clientes de T-Mobile


Los delincuentes aprovecharon una API para obtener datos personales, como nombres de clientes, direcciones de facturación, direcciones de correo electrónico, números de teléfono, fechas de nacimiento y números de cuenta de T-Cellular.

Concepto de ciberdelincuencia confidencial de seguridad de violación de datos.
Imagen: Adobe Inventory

T-Cell y millones de sus clientes han sido víctimas de otra violación de datos, esta aparentemente realizada por piratas informáticos que sabían cómo explotar una interfaz de programación de aplicaciones utilizada por el operador.

El 19 de enero, T-Cell reveló la violación en una presentación ante la Comisión de Bolsa y Valores de EE. UU.señalando que la API afectada proporcionó a los piratas informáticos nombres, direcciones de facturación, direcciones de correo electrónico, números de teléfono, fechas de nacimiento, números de cuenta de T-Cell y características del approach para 37 millones de clientes actuales de pospago y prepago.

Salta a:

Detalles de la presentación ante la SEC de T-Mobile

En su presentación, la compañía no nombró la API que se vio afectada ni explicó cómo los piratas informáticos pudieron explotarla. Afortunadamente, la API no filtró otros datos personales, como números de tarjetas de pago, números de Seguro Social, números de licencia de conducir, contraseñas o PIN, según T-Cellular.

VER: Política de seguridad de dispositivos móviles (TechRepublic Quality)

La violación comenzó alrededor del 25 de noviembre del año pasado, dijo el operador, y agregó que detuvo la actividad maliciosa un día después de descubrirla y que actualmente está trabajando con las fuerzas del orden público para investigar más a fondo.

Las filtraciones de datos no son nuevas para T-Cell

Las filtraciones de datos y los hackeos no son un fenómeno nuevo para T-Mobile. En los últimos años, la empresa ha sufrido varios incidentes de seguridad, incluido un error en su sitio website en 2018 que permitió que cualquier persona acceda a los datos de los clientes, una infracción en 2021 que expuso los datos personales de casi 50 millones de personas y una serie de infracciones realizado por el grupo de cibercrimen Lapsus$ en marzo de 2022.

En su presentación ante la SEC, T-Cell dijo que en 2021 inició una «inversión sustancial de varios años» para trabajar con proveedores de seguridad externos para mejorar sus capacidades de ciberseguridad. Afirmando que ha «hecho un progreso sustancial hasta la fecha», la compañía agregó que continuará invirtiendo más para fortalecer su ciberseguridad.

API mal configurada, la culpable de la violación de datos de T-Cell

“Las violaciones de datos repetidas como esta pueden tener un impacto significativo en la reputación de las organizaciones, y T-Cellular ciertamente parece ser una organización que se está convirtiendo en sinónimo de violaciones masivas de datos”, dice Erich Kron, defensor de la conciencia de seguridad en KnowBe4. “En este caso, una API mal configurada fue la culpable sin embargo, esto es indicativo de procesos y procedimientos potencialmente deficientes con respecto a las herramientas seguras que tienen acceso a una cantidad tan significativa de datos.

«Al recopilar y almacenar información sobre una cantidad tan grande de clientes, T-Cellular también tiene la responsabilidad de garantizar que sea segura, una responsabilidad en la que han fallado varias veces».

Una API actúa como una interfaz entre diferentes sistemas y aplicaciones para permitirles comunicarse entre sí. Sin embargo, debido a su ubicuidad entre las organizaciones, se han convertido en un objetivo tentador para los ciberdelincuentes. Al realizar ataques de raspado de API, los piratas informáticos pueden obtener acceso directo a los datos y activos críticos de una organización.

“Las API son como autopistas a los datos de una empresa: altamente automatizadas y que permiten el acceso a grandes cantidades de información”, dijo Dirk Schrader, vicepresidente de investigación de seguridad de Netwrix. “Cuando no existen controles que monitoreen la cantidad de datos que deja el dominio a través de la API, no hay control sobre los datos del cliente”.

Los datos de clientes robados de T-Cellular son una mina de oro para los piratas informáticos

Aunque no se accedió a los datos de la tarjeta de crédito ni a los números de la Seguridad Social en el hackeo, la información robada representa una mina de oro para los ciberdelincuentes, según Kron. Con estos datos, pueden diseñar ataques de phishing, vishing y smishing e información de referencia que un cliente puede sentir que solo T-Mobile conoce. Un ataque exitoso podría conducir al robo financiero o al robo de identidad.

“El tipo de datos exfiltrados en el caso de T-Cell está configurado para permitir que las pandillas de ransomware… mejoren la credibilidad de los correos electrónicos de phishing enviados a posibles víctimas”, dijo Schrader. “Tal conjunto de datos también sería de interés para los actores maliciosos, los llamados agentes de acceso inicial, que se enfocan en recopilar las incursiones iniciales en las computadoras personales y las redes de la empresa”.

Recomendaciones para clientes de T-Cellular y organizaciones que trabajan con API

Con esta última infracción, los clientes de T-Cellular no solo deben cambiar sus contraseñas, sino también tener cuidado con los correos electrónicos entrantes que afirmen ser de la empresa o que se refieran a cuentas o información de T-Cell. Study los correos electrónicos inesperados o no solicitados en busca de errores tipográficos, enlaces incorrectos y otros detalles engañosos.

Para evitar este tipo de ataques, las organizaciones que trabajan con API deben implementar controles estrictos sobre quién y qué puede usar las API y en qué momento y frecuencia, dice Schrader. Un enfoque de confianza cero es la mejor manera de reducir la superficie de ataque, ya que limita el acceso a los recursos desde dentro y fuera de la red hasta que se pueda verificar la solicitud.

“Estos ataques seguirán ocurriendo hasta que las organizaciones se comprometan a reducir y, en última instancia, eliminar los silos de datos y la integración de datos basada en copias para establecer una foundation de control”, dijo Dan DeMers, director ejecutivo y cofundador de Cinchy. “En la práctica, de lo que estamos hablando es de un cambio basic donde los CTO, CIO, CDO, arquitectos de datos y desarrolladores de aplicaciones comienzan a desacoplar los datos de las aplicaciones y otros silos para establecer ecosistemas de datos de ‘copia cero’”.

Las organizaciones que deseen buscar este tipo de seguridad basada en silos deben considerar estándares como Integración de copia cero e innovaciones como tecnología de datos, dijo DeMers. Ambos se centran en un enfoque centrado en los datos basado en el principio de regulate.

Lea a continuación: Confianza cero: cultura centrada en los datos para acelerar la innovación y asegurar el negocio electronic (TechRepublic)



Enlace a la noticia authentic