T-Mobile hat kürzlich eine Datenschutzverletzung bekannt gegeben, bei der ein Hacker persönliche Informationen von 37 Millionen aktuellen Postpaid- und Prepaid-Kundenkonten erhalten hat, indem er eine seiner Anwendungsprogrammierschnittstellen (APIs) ausgenutzt hat. APIs sind Softwareschnittstellen, die es Anwendungen und Computern ermöglichen, miteinander zu kommunizieren.
Viele Online-Webdienste verwenden APIs, um ihren Online-Apps oder externen Partnern den Zugriff auf interne Daten zu ermöglichen, indem sie die richtigen Authentifizierungstoken bereitstellen. T-Mobile hat nicht angegeben, wie ihre API kompromittiert wurde, aber es ist üblich, dass Hacker Schwachstellen in APIs ausnutzen, um Daten ohne ordnungsgemäße Authentifizierung abzurufen.
Neue Datenschutzverletzung bei T-Mobile betrifft 37 Millionen Konten
Am Donnerstag gab T-Mobile bekannt, dass die Datenschutzverletzung am 25. November 2022 begann und der Angreifer auf die betroffene API zugegriffen hatte. Das Unternehmen entdeckte die nicht autorisierte Aktivität am 5. Januar 2023 und sperrte den Zugriff des Angreifers auf die API sofort am folgenden Tag.
T-Mobile gab außerdem an, dass die angegriffene API dem Angreifer keinen Zugriff auf vertrauliche Informationen wie Führerscheine, amtliche Ausweisnummern, Sozialversicherungsnummern/Steuer-IDs, Passwörter/PINs, Zahlungskarteninformationen oder andere Finanzkontoinformationen verschaffte die betroffenen Kunden.
„Stattdessen ist die betroffene API nur in der Lage, einen begrenzten Satz von Kundenkontodaten bereitzustellen, darunter Name, Rechnungsadresse, E-Mail, Telefonnummer, Geburtsdatum, T-Mobile-Kontonummer und Informationen wie die Anzahl der Leitungen auf dem Konto und Planfunktionen. Das vorläufige Ergebnis unserer Untersuchung zeigt, dass die Angreifer Daten von dieser API für ungefähr 37 Millionen aktuelle Postpaid- und Prepaid-Kundenkonten erhalten haben, obwohl viele dieser Konten nicht den vollständigen Datensatz enthielten.“ angegeben T-Mobile.
In einem gesonderte Erklärung, definierte T-Mobile die bei diesem Angriff gestohlenen Daten als „grundlegende Kundeninformationen“. Das Unternehmen hat den Vorfall den zuständigen Bundesbehörden in den USA gemeldet und arbeitet mit den Strafverfolgungsbehörden zusammen, um den Verstoß zu untersuchen. T-Mobile informiert auch Kunden, deren persönliche Daten infolge des Verstoßes möglicherweise kompromittiert wurden.
„Wir verstehen, dass ein Vorfall wie dieser Auswirkungen auf unsere Kunden hat, und bedauern, dass dies passiert ist. Obwohl wir, wie jedes andere Unternehmen, leider nicht immun gegen diese Art von kriminellen Aktivitäten sind, planen wir, weiterhin erhebliche, mehrjährige Investitionen in die Stärkung unseres Cybersicherheitsprogramms zu tätigen. Unsere Untersuchung dauert noch an, aber die böswilligen Aktivitäten scheinen zu diesem Zeitpunkt vollständig eingedämmt zu sein, und es gibt derzeit keine Beweise dafür, dass der Angreifer in der Lage war, unsere Systeme oder unser Netzwerk zu durchbrechen oder zu kompromittieren“, erklärte T-Mobile.
T-Mobile leidet seit 2018 unter Datenschutzverletzungen
Dies ist die achte Datenschutzverletzung, die T-Mobile seit 2018 offengelegt hat. Der jüngste Vorfall ist der erste, der im Jahr 2023 gemeldet wurde, aber das Unternehmen hatte seit 2018 sieben weitere Datenschutzverletzungen, darunter eine, bei der Angreifer Zugriff auf Daten von etwa 3 % erlangten alle T-Mobile-Kunden.
Im Jahr 2019 legte T-Mobile die Daten von Prepaid-Kunden offen und im Jahr 2020 griffen unbekannte Angreifer auf die E-Mail-Konten von T-Mobile-Mitarbeitern zu.
Im Dezember 2020 verschafften sich unbekannte Angreifer auch Zugang zu kundeneigenen Netzwerkinformationen (Telefonnummern, Anrufaufzeichnungen) und im Februar 2021 griffen Angreifer ohne Autorisierung auf eine interne T-Mobile-Anwendung zu.
Im August 2021 brachen Hacker nach einer Sicherheitsverletzung in den Testumgebungen des Netzbetreibers in das Netzwerk von T-Mobile ein. Obwohl T-Mobile den Angreifern 270.000 US-Dollar über eine Drittfirma zahlte, konnte T-Mobile nicht verhindern, dass die gestohlenen Daten online durchgesickert sind. Das Unternehmen bestätigte im April 2022 auch, dass die Lapsus$-Erpresserbande mit gestohlenen Zugangsdaten in ihr Netzwerk eingedrungen war.
Source: Datenpanne bei T-Mobile: 37 Millionen Konten betroffen
