Hier, le géant du mobile T-Mobile a déclaré avoir subi une violation de données à partir du 26 novembre qui affecte 37 millions de clients actuels sur les comptes prépayés et postpayés. La société a déclaré dans un dossier de la Securities and Exchange Commission des États-Unis qu’un “mauvais acteur” avait manipulé l’une des interfaces de programmation d’applications (API) de la société pour voler les noms, adresses e-mail, numéros de téléphone, adresses de facturation, dates de naissance, numéros de compte, et les détails du plan de service. L’intrusion initiale s’est produite fin novembre et T-Mobile a découvert l’activité le 5 janvier.
T-Mobile est l’un des plus grands opérateurs de téléphonie mobile aux États-Unis et on estime qu’il compte plus de 100 millions de clients. Mais au cours des 10 dernières années, l’entreprise a acquis la réputation de subir des violations de données répétées ainsi que d’autres incidents de sécurité. La société a eu une méga violation en 2021, deux violations en 2020, une en 2019 et une autre en 2018. La plupart des grandes entreprises ont des difficultés avec la sécurité numérique, et personne n’est à l’abri des violations de données, mais T-Mobile semble approcher des entreprises comme Yahoo au panthéon des compromis répétés.
“Je suis certainement déçu d’apprendre qu’après autant de violations qu’ils ont eues, ils n’ont toujours pas été en mesure de consolider leur navire qui fuit”, déclare Chester Wisniewski, directeur technique de la recherche appliquée chez l’entreprise de sécurité. Sophos. “Il est également préoccupant que les criminels se soient trouvés dans le système de T-Mobile pendant plus d’un mois avant d’être découverts. Cela suggère que les défenses de T-Mobile n’utilisent pas d’équipes modernes de surveillance de la sécurité et de chasse aux menaces, comme on pourrait s’y attendre dans une grande entreprise comme un opérateur de réseau mobile.
En raison des limites de l’API (une interface qui facilite la communication entre deux logiciels), l’attaquant n’a pas eu accès aux numéros de sécurité sociale ou aux identifiants fiscaux, aux données de permis de conduire, aux mots de passe et aux codes PIN, ni aux informations financières telles que les données de carte de paiement. Cependant, ces données ont été compromises dans d’autres violations récentes de T-Mobile, dont une en août 2021. En juillet 2022, T-Mobile a accepté de régler un recours collectif concernant cette violation dans un accord qui comprenait 350 millions de dollars pour les clients. À l’époque, la société s’était également engagée dans une initiative de 150 millions de dollars sur deux ans pour améliorer sa sécurité numérique et ses défenses de données.
T-Mobile, qui n’a pas répondu aux multiples demandes de commentaires de WIRED, a écrit dans sa divulgation à la SEC qu’en 2021, «Nous avons commencé un investissement pluriannuel substantiel en travaillant avec des experts externes de premier plan en cybersécurité pour améliorer nos capacités de cybersécurité et transformer notre approche de la cyber-sécurité. Nous avons fait des progrès substantiels à ce jour et la protection des données de nos clients reste une priorité absolue.
Cela n’a clairement pas été suffisant, compte tenu du récent incident, qui a exposé les données d’environ un tiers des clients américains de l’entreprise.
“Combien d’entre eux T-Mobile doit-il avoir?” s’est demandé Jake Williams, un intervenant de longue date et analyste à l’Institute for Applied Network Security. “La sécurité des API commence tout juste à être quelque chose sur laquelle les gens se concentrent vraiment, ce qui était une erreur. Détecter les abus d’API n’est pas facile, surtout si l’acteur de la menace se déplace lentement et lentement. Je soupçonne qu’il y en a un grand nombre en général qui ne sont tout simplement pas détectés. Mais l’essentiel est que la sécurité de l’API de T-Mobile a clairement besoin de travail. Vous ne devriez pas subir d’abus massifs d’API pendant plus de six semaines. »