No começo da última semana, um usuário de um fórum cibercriminoso bastante popular na internet superficial anunciou a venda de um banco de dados pessoais de mais de 30 milhões de clientes e usuários da T-Mobile. Embora o anúncio não mencione que os dados são da T-Mobile, a Motherboard e o BleepingComputer entraram em contado com o usuário, que revelou que os dados foram extraídos de um servidor da empresa, administrado pela Oracle.
- FBI deixa lista de supostos terroristas disponível na internet sem senha
- Dados de mais de 700 milhões de usuários do LinkedIn estão a venda na internet superficial
- Fornecedora da Audi e Volkswagen deixa exposto dados de mais de 3,3 milhões de clientes das montadoras
A T-Mobile é uma operadora multinacional de telefonia móvel com sede em Bonn, Alemanha e mais de 52 mil funcionários espalhados pelo mundo todo. Além de fornecer linha, rede e serviços telefônicos, também comercializa smartphones e é uma das principais participantes do desenvolvimento do 5G no mundo. Embora tenha sede na Alemanha, a empresa serve uma grande quantidade de estadunidenses, concorrendo diretamente com a AT&T e a Verizon.
Anunciado por 6 unidades de Bitcoin (aproximadamente R$ 1 milhão), o banco de dados contêm dados como nome, data de nascimento, número do telefone, número do IMEI junto com PINs de segurança, número da carteira de motorista e números de previdência social (equivalente ao CPF brasileiro). Por conter informações como número de previdência social (Social Security Number) é possível concluir que o banco de dados pertence à T-Mobile Estados Unidos, já que este documento é exclusivo dos cidadãos estadunidenses.
O usuário revelou ao BleepingComputer que furtou dados de mais de 100 milhões de clientes, mas apenas 30 milhões foram colocados a venda. No entanto, esse banco de dados pode conter muitos usuários antigos, que já nem são mais clientes da T-Mobile. "Todo o banco de dados de histórico IMEI até 2004 foi roubado", disse o usuário ao BleepingComputer.
O IMEI, ou International Mobile Equipment Identity, é um número de identificação única de um dispositivo móvel. Cada smartphone tem um IMEI único, algo como o CPF do seu celular.
Como prova de que os dados foram furtados da T-Mobile, o usuário compartilhou uma captura de tela de uma conexão SSH com um servidor de produção da empresa, administrado pela Oracle.
T-Mobile assume vazamento de dados, mas só reconhece 53 milhões de vítimas
Dois dias depois, na terça-feira (16), a T-Mobile confirmou que cibercriminosos invadiram seus sistemas nas últimas semanas, mas que ainda estaria investigando o vazamento anunciado no fórum cibercriminoso.
"Determinamos um acesso não autorizado a alguns dados da T-Mobile [...] Essa investigação levará algum tempo, mas estamos trabalhando com o mais alto grau de urgência. Até que tenhamos concluído esta avaliação, não podemos confirmar o número de registros afetados ou a validade das declarações feitas por terceiros", disse um porta-voz da T-Mobile à imprensa.
Mais tarde, na sexta-feira (20) a empresa se pronunciou em seu site oficial, reconhecendo que mais de 53 milhões clientes e ex-clientes (em três grupos diferentes) foram comprometidos no ataque.
"Aproximadamente 7,8 milhões de contas atuais de clientes pós-pagos da T-Mobile [...] foram comprometidos. Além disso, outros 5,3 milhões de contas de clientes pós-pagos atuais que tinham um ou mais nomes de telefones e IMEIs também foram acessados ilegalmente [...] Também relatamos anteriormente que os arquivos de dados com informações de cerca de 40 milhões clientes da T-Mobile [...] foram comprometidos", escreveu a empresa em um comunicado publicado na sexta-feira (20).
A T-Mobile explicou que todos os PINs comprometidos foram reconfigurados e uma série de outras medidas de segurança foram aplicadas, como uma parceria com a McAfee para garantir mais segurança aos seus clientes, por exemplo.
Sexto vazamento de dados da T-Mobile em 4 anos
Esta é a sexta vez que a T-Mobile se envolve em um vazamento de dados envolvendo informações de seus clientes, usuários e até funcionários e dados internos.
Em 2018 foram quase 4 milhões de clientes comprometidos. Em 2019 foi um número não identificado de clientes pré-pagos. Em março de 2020 cibercriminosos conseguiram acesso não autorizado à emails da T-Mobile e de um de seus parceiros comerciais.
Em dezembro de 2020, cibercriminosos vazaram um número não identificado de números de telefone e registros de chamadas de usuários T-Mobile. Já em fevereiro deste ano, uma extensa campanha de SIM Swap que afetou comprometeu o acesso à linha telefônica de cerca de 400 clientes.
Fontes: Motherboard; BleepingComputer; T-Mobile.