T-Mobile遭駭! 200萬客戶姓名、電郵及加密密碼外洩

美國電信業者T-Mobile上周揭露公司網路遭駭，約200萬名用戶的姓名、電子郵件或帳號密碼等個資外洩。

T-Mobile的網路安全部門在8月20日一早發現該公司伺服器發生事故，「一小部份」用戶資料遭非獲授權人士複製取走後立即切斷網路，並且立即報警。外洩的資料包括姓名、居住地郵遞區號、電話號碼、電子郵件、帳號及帳號類別（預付或後付）等。T-Mobile強調用戶的財務資訊（如信用卡號）、社會安全號碼並未外洩。

T-Mobile表示，來自「國際組織」的駭客透過API存取該公司的伺服器，進而竊取了用戶個資。但是該組織是網路罪犯或是國家資助的駭客，則尚不得而知。

T-Mobile公告中並未說明有多少資料外洩，不過該公司向Motherboard指出，受影響人數佔該公司7700萬用戶的3%，大約是200萬人。T-Mobile也在上周五開始以簡訊告知受影響的用戶。

值得注意的是，在最初的公告中，T-Mobile表示用戶密碼也沒有外洩。但後來被外部研究人員取得資料，發現其中包含用戶密碼檔，才向Motherboard坦承，密碼其實也在外洩資料之列，但是有加密保護。不過媒體經由外部安全研究人員得知，外洩的密碼可能是安全度不高的MD5，可以用暴力破解，或是利用密碼資料庫的大量雜湊以反向工程破解。

T-Mobile執行長John Legere 建議使用者最好定期變更帳號密碼。

這已是T-Mobile最新一次陷入網路安全的麻煩。去年10月有安全研究人員揭露這家電信業者網路上有漏洞，能讓駭客輕易查詢到用戶資料，如電子郵件、信用卡號碼，進而用作SIM卡綁架（SIM hijacking或SIM swapping）。今年5月間又被爆該公司員工使用的子網域漏洞，只要在URL輸入電話號碼即可查到用戶姓名、帳號或是認證密碼等。