圖片來源: 

T-Mobile

在電信公司T-Mobile提交給美國證券交易委員會的8-K表格中,揭露惡意攻擊者已經存取該公司3,700萬客戶,包括姓名、帳單地址、電話號碼、帳號等個人資料,即便目前事件還在調查當中,但T-Mobile認為惡意行動已經被完全阻止。

在1月5日時,T-Mobile發現有惡意攻擊者在未經授權的情況下,透過API存取資料,T-Mobile和外部網路安全專家隨即展開調查,在發現當天就追蹤到惡意活動的來源,並採取措施封鎖該活動,官方表示,目前惡意活動已經完全被控制,也沒有證據顯示,攻擊者破壞T-Mobile的系統或是網路。

本次洩漏的是一組客戶帳單資料,包含姓名、帳單地址、電子郵件、電話號碼、出生年月日、T-Mobile帳號,以及帳戶線路數量和資費方案等資訊,T-Mobile提到,因為他們系統和政策的限制,因此更敏感的財務資料並未暴露,該API不會洩漏包括信用卡資料、社會安全碼/稅號,或是金融帳戶資訊等。

目前調查還在進行中,而調查初步結果顯示,攻擊者從2022年11月25日就開始透過該API檢索資料,已經擷取約3,700萬客戶已付或是預付帳戶資料。T-Mobile正調查其他未經授權的活動,並且已就本次事件通知聯邦機構以及受影響客戶。

T-Mobile資安事件層出不窮,近年的重大資料洩漏事件包括2018年T-Mobile被駭,有200萬客戶姓名、電子郵件信箱及加密密碼外洩,當時也是惡意攻擊者透過API竊取用戶個資,2019和2021年也發生多起資料洩漏事件,還有駭客在地下論壇,販售1億筆T-Mobile用戶資料庫,2022年中T-Mobile才就該事件,與7,000萬用戶以3.5億美元達成和解。T-Mobile也在去年時被爆出遭到駭客組織Lapsus$入侵,被竊走多個專案的程式碼。

T-Mobile在其8-K表格最後提到,雖然T-Mobile預測需要對該事件付出大量費用,但是他們預計該事件不會對客戶行為產生負面影響,也不會對公司營運產生重大影響。畢竟經過近年多次資安事件,T-Mobile及其客戶可能都對事件處理和反應不陌生。

熱門新聞

Advertisement