T-Mobile onderzoekt claim van diefstal gegevens 100 miljoen Amerikaanse klanten

T-Mobile onderzoekt de claim van een hacker die zegt de beschikking te hebben over klantgegevens van honderd miljoen Amerikanen die klant zijn of zijn geweest bij de provider. De hacker verkoopt de gegevens momenteel.

De data zou afkomstig zijn van servers van T-Mobile, zo heeft Motherboard gehoord van de hacker. De data bevat onder meer namen, adressen, telefoonnummers, IMEI-nummers van telefoons, de Amerikaanse evenknie van BSN-nummers en gegevens over rijbewijzen. Motherboard heeft aan de hand van een sample kunnen vaststellen dat er gegevens van T-Mobile-klanten in staan.

Volgens de hacker had T-Mobile door dat er was ingebroken op de servers en is de toegang afgesloten. Hij had toen de data al te pakken. Hij vraagt 6 bitcoin, omgerekend momenteel ongeveer 240.000 euro, voor een deel van de data via een forum. T-Mobile zegt in een reactie tegen de site de claim te onderzoeken. Verder heeft de provider nog niets te melden over de zaak en antwoordt de provider niet op vervolgvragen. De kans dat er data bij zit van veel Nederlandse klanten is vermoedelijk nihil, omdat de Amerikaanse tak aparte systemen en servers gebruikt.

Door Arnoud Wokke

Redacteur

16-08-2021 • 07:35

46 Linkedin

Reacties (46)

46
46
41
4
0
2
Wijzig sortering
Het lijkt mij onvermijdelijk dat bedrijven/instanties op een gegeven moment aansprakelijk worden voor alle gevolgschade die mogelijkerwijs uit dergelijke data diefstallen voorkomen. De bewijslast zou daarbij omgedraaid moeten worden (het bedrijf moet aantonen dat de identiteitsfraude niet is voortgekomen uit hun data diefstal) zodat je als burger ook daadwerkelijk je recht kunt halen.

Het gebeurt veel te vaak en er lijkt geen urgentie bij bedrijven/instellingen om hier verbetering in aan te brengen.

Ik zie hier geen andere oplossing voor. Je bent als burger immers verplicht om je gegevens af te staan.

Wat denken jullie hiervan? Hoe gaan we dit oplossen?

[Reactie gewijzigd door marktweakt op 16 augustus 2021 08:59]

Om te beginnen zouden organisaties die persoonsgegevens [1] verzamelen de waarde van die gegevens beter moeten inschatten. Te weinig organisaties lijken te beseffen dat de totaalwaarde -voor aanvallers- van wat "ze in huis hebben" niet lineair toeneemt met het aantal records, laat staan dat ze proportionele beveiligingsmaatregelen nemen.

[1] Of andere gegevens van derden waarbij die derden nadeel ondervinden als hun gegevens in verkeerde handen vallen, onbedoeld/ongeautoriseerd worden gewijzigd of gewist (AKA een datalek).

Men zou kunnen beginnen met de volgende formule:

totaalwaarde = wpr * ar ^ m

wpr = waarde per record
ar = aantal records
m = macht, groter dan 1

Bij een macht van 1,5 en 1 cent per record had T-Mobile USA rekening moeten houden met een waarde van 100 miljoen tot de macht 1,5 = 1 x 10^12 cent.

Als GDPR-achtige boetes navenant zijn is het financieel minder aantrekkelijk om te centraliseren (alle data op één plaats concentreren) en kun je effectievere maatregelen nemen die bij een breach helpen voorkomen dat aanvallers data uit meerdere opslaglocaties buitmaken.
Probleem is dan wel dat als m b.v. 2 is, dat je dan de boete met vierkante euro's moet betalen.
Ethereum heeft wat hoekigs in het logo :+

Serieus, 2 lijkt mij overdreven. Welke waarde precies verstandig is weet ik niet, belangrijk is dat dataverzamelaars zich realiseren dat de kans op inbraak harder toeneemt dan je -wellicht- op basis van het aantal records zou verwachten.

Zoals breakers hieronder schrijft, je kunt datalekken nooit voor 100% voorkomen; zorgen dat de schade beperkt blijft kan echter bijna altijd.
Het afschrikwekkende effect van sancties helpt wel, maar uiteindelijk zul je datalekken nooit 100% kunnen voorkomen. Je moet dus hoe dan ook een plan B hebben.

Nu is het bij T-Mobile / klanten, maar eigenlijk hebben we allemaal dagelijks last van de resultaten van dit soort ongein, zoals spam.

Het zwakke punt van email, is juist dat het zo anoniem is. Iedereen kan emailadressen aanmaken zoveel hij wil en mailen naar iedereen tegen nihil kosten en daar wordt misbruik van gemaakt. Spamfilters zijn nooit 100% effectief dus je raakt mail kwijt en of je krijgt mail die je niet wil. Zolang je het systeem zo laat, los je dat niet op.

Een oplossing zou kunnen zijn: Het mailsysteem aanpassen naar persoonsgebonden mailadressen en IP-adressen per persoon. Dus een identificatie-optie bij alles wat je online doet.

Uiteraard valt of staat alles bij hoe waterdicht die identificatie is. Dat is uiteindelijk de grote uitdaging.

Pas als je 100% zeker weet met wie je te maken hebt, met wiens mail je te maken hebt, van wie die webwinkel is, etc, kun je internet betrouwbaar maken, door iemands online handelingen openbaar te maken. Misschien met een blockchain-achtige oplossing.

Het schiet dan ook niet meer op om mensen op te lichten of naar het buitenland te vluchten, want iedereen kan je reputatie online (blijven) zien.
Met als gevolg dat alles kapot wordt verzekerd en de klant flink meer gaat betalen. En het probleem los je er niet mee op. Tenzij je iedereen die te maken heeft met deze data (dus van management tot aan developer en tester) persoonlijk aansprakelijk stelt....
Persoonlijk aansprakelijk stellen lijkt me ook lastig. Stel dat ik een boete krijg omdat het mijn fout was. 50.000 euro doe ik wel een aantal jaar over om dit te behalen. Stel dat je 1000 euro in de maand overhoudt (na alle kosten betaald te hebben) dan duurt het nog 50 maanden als je de gehele 1000 euro voor de boete moet gebruiken. En ik heb maar een uitkering en een hele kleine salaris ernaast. Als ik gelukt heb dan hou ik ongeveer 250 euro per maand over. Dus dat wordt dan 200 maanden. Ben ik 17 jaar me boete aan het afbetalen voor mogelijk een stom foutje door bijvoorbeeld op een verkeerde link te klikken. Ga je zeggen dat de boete per salaris bepaalt wordt dan zie ik het gebeuren dan de goedkoopste mensen de schuld op zich mogen nemen om geld te besparen.
Security is niet alleen een zaak voor de eindgebruiker.
Er zijn voldoende directies waar het min of meer als sluitpost op de agenda staat (als het al op de agenda staat), bity en dergelijk bedrijf is het verkeerd klikken niet direct een hals misdrijf want er is geen security bewustzijn.

Als de directie WEL maatregelen neemt, en personeel opleidt en awarenesss training en af en toe steek proeven neemt dan kan het een individueel personeelid wel wat meer kwalijk worden genomen.
Maar ik vermoed dat bij een dergelijk bedrijf de impact ook een stuk minder zal zijn.
Met als gevolg dat alles kapot wordt verzekerd en de klant flink meer gaat betalen. En het probleem los je er niet mee op.
In dat geval wordt data security volgens mij wel een serieuze concurrentiefactor omdat bedrijven met een goede beveiliging tegen lagere kostprijs hun dienst/product kunnen leveren. De slecht beveiligde bedrijven moeten dure premies betalen waardoor ze zichzelf uit de markt prijzen.
T-Mobile heeft in Amerika tussen 2017 en 2020 al zeker 8 eerdere "security deficiencies" gehad. Het boeit ze dus helemaal niets, het blijft onbestraft, en het geld komt toch wel binnen...
Ik werk toevallig op het moment met de dames en heren van T-Mobile US aan een project, spreek met hun architecten en hun operations mensen dus ik heb een heel klein beetje inzicht in hoe men daar werkt.

Ik denk dat het meer een kwestie is van niet de juiste mensen op de juiste plaats. Er zijn mensen met voldoende kennis van zaken maar er zijn er een stuk meer die een stuk minder goed weten wat ze doen. (het is dus een normaal bedrijf zo als zo veel andere overal op deze planeet)
Het resultaat is een bedrijf (zo als vele andere) waar men met de beste bedoelingen van de wereld heel erg hard z'n best doet maar af en toe gewoon door gebrek aan kennis steekjes laat vallen. Er is schijnbaar niet voldoende aandacht van uit de top als het gaat om security en dus kunnen dit soort dingen een stuk makkelijker gebeuren.
Het is een beetje zo als Microsoft jaren lang was, men had flink veel slimme mensen maar heel erg veel meer mensen die een stuk minder verstand hadden van beveiliging met als resultaat dat de software zo lek als een mandje was. Microsoft heeft een fortuin uitgegeven aan het trainen van hun mensen om ze basis beginselen van defensive coding bij te brengen, ze te wijzen op hoe makkelijk het is om een buffer overflow te misbruiken en ga zo maar door. Ondanks dat het product nog steeds verre van veilig is het een heleboel minder lek dan het was en zie je dat de "hackers" met uitzondering van de echt goede hun aandacht hebben verschoven naar makkelijkere doelen.

Ik denk dat heel erg veel bedrijven een heleboel kunnen leren van dit soort problemen. Het is nu eenmaal zo dat er in ieder bedrijf een aantal mensen rond lopen die met de beste bedoelingen grove fouten kunnen maken en dit soort hackers helpen aan de data te komen. Het grote probleem is dat de meeste bedrijven niet zo als Microsoft miljarden achter de hand hebben om even hun gehele personeelsbestand te trainen op het security gebied en dat ook jaren later nog steeds vol te blijven houden om te voorkomen dat je met nieuwe mensen (5 jaar later zijn de meeste IT mensen al lang ergens anders meer aan het verdienen) niet weer op een zelfde punt uit komt.

Ik denk dus ook niet dat het nu perse een kwestie is van T-Mobile is slecht, of het kan ze niets schelen. Het is eerder dat met 100 miljoen klanten of meer ze een veel groter doel zijn dan een bedrijfje met een paar duizend klanten. De fouten die er gemaakt worden zijn niet groter of kleiner dan bij welk ander bedrijf maar omdat veel meer mensen proberen binnen te komen is de kans dat het iemand lukt een stuk groter.
Tering dit vind ik niet zo fijn aangezien ik zelf in de VS woon en klant ben bij T-mobile. Het naarste is de diefstal van social security numbers (equivalent van BSN). Hier in de VS heb je dit nummer voor vrijwel alles nodig zelfs afsluiten van een telefoonabonnement, gasrekening, kabel, etcetera. Dit is het meest angstige nummer, want dat is hier je identiteit en je hebt het vaak nodig ook om een wachtwoord te resetten of wat dan ook. Credit cards enzo zijn wel verzekerd.
Het Social Security Number is in mijn beleving ook niet echt beveiligd: als je het nummer weet dan is het vaak ter plekke aan je identiteit gekoppeld volgens mij. Geen checks met een rijbewijs of paspoort. Klopt dat beeld nog?
Idem in Zweden. Hier heb je een persoonsnummer die je gewoon kunt vinden door een naam van een persoon in te typen (ook adresgegevens, leeftijd, adres…). Volgens de Zweedse overheid is dit publiekelijke informatie, ondanks dat je met het persoonsnummer vrijwel alles kunt afsluiten. Gelukkig moet je hier wel extra identificatie geven als het gaat om geld, maar het systeem hier is zeker niet waterdicht.
Dat klinkt wel logisch: Een uniek, openbaar nummer zodat ieder bedrijf of instantie alle Jan Jansens uit elkaar kan houden, maar om te bewijzen wie je bent en een lening te krijgen, moet je je aanvullend kunnen identificeren.
Is ook logisch, maar ik vind het wel apart dat wanneer men een naam van een inwoner intypt, ze precies kunnen zien hoeveel huizen en auto's ze hebben, hoe hun vrouw heet, wat hun geboortedatum is, hoeveel omzet en winst/verlies hun bedrijf draait, etc. Vind dat abnormaal veel informatie die zomaar publiekelijk is.
Wij zijn dat niet gewend maar als het voor iedereen geldt geeft het ook een bepaalde gelijkheid en inzichten. Het wordt makkelijker voor een barman om te controleren of iemand echt volwassen is, bij een nieuwe relatie of iemand niet al getrouwd is. Persoonlijk zou ik er niet zo veel moeite mee hebben. Vergeet niet dat in Nederland tegen betaling bijvoorbeeld ook kvk-gegevens zoals jaarrekening inzichtelijk zijn en er is het BKR.
Dat is het ook, nadeel is dat bij zaken als datalekken nu zaken heel eenduidig aan elkaar kunnen worden geknoopt. Zelf denk ik dat zo'n landelijke sleutel toch wel met enige voorzichtigheid behandeld moet worden, maar dat een securitylaag eronder om zeker te stellen dat het nummer niet lukraak gekozen is echt belangrijk is.
dat klopt.

persoonsnummer is hun hoofd ID net als onze BSN, maar in zweden deze kan jij opzoeken (internet).

maar als 2e laag heeft zweden het BankID (je zou zeggen dit is bijna zelfde als DigiD) dus moet je alles bevestigen via mobiel(ook niet zo veilig) maar goed :p
Is BankID niet eerder te vergelijken met IDIN i.p.v. DigiD? Akkoord, IDIN heeft hier zeker niet de populariteit van DigiD maar BankID en IDIN worden beiden door banken beheerd in tegenstelling tot DigiD welke een rijksoverheid-ontwikkeling is.
Klopt, maar ik heb helaas al een paar keer gehoord van vrienden en buren hier dat iemand bijvoorbeeld een lidmaatschap afsloot bij een supermarkt. Nu is dit gratis en levert dit helemaal niets op verder qua kosten of wat dan ook, maar het is wel enigszins vervelend. Zelfde kan in Nederland natuurlijk ook door dingen bij iemand thuis te laten bezorgen, maar het gaat om het principe :P
Probleem in de VS is dat ze geen bevolkingsregister hebben zoals wij en dat een ID of paspoort verder niet verplicht is. Gevolg is dat je (in onze ogen) idiote dingen moet om je te identificeren bij officiële instanties. Bijvoorbeeld 5 officiële brieven van de bijvoorbeeld de IRS om een rijbewijs aan te vragen.

Heb er geen getallen van maar daardoor is identiteitsdiefstal ook een veel groter probleem in de VS als hier.
Probleem in de VS is dat ze geen bevolkingsregister hebben zoals wij en dat een ID of paspoort verder niet verplicht is. Gevolg is dat je (in onze ogen) idiote dingen moet om je te identificeren bij officiële instanties. Bijvoorbeeld 5 officiële brieven van de bijvoorbeeld de IRS om een rijbewijs aan te vragen.
Mag ik vragen in welke staat je een brief van de IRS moest aanleveren? Hier in CO moet je ID, SSN en een brief (van bijvoorbeeld een bank of het elektriciteitsbedrijf) meenemen. Dat laatste als bewijs van je adres omdat daar je rijbewijs heen verstuurd wordt.

Er is (helaas) geen bevolkingsregister maar de gegevens van USPS, IRS en de Social Security Administration worden gebruik door vele overheids instanties.
Zo werd ons adres gewoon bijgewerkt bij de IRS als we aan USPS een verhuizing doorgeven.
Volgens mij wel. Vroeger was het zelfs zo dat ze uitdrukkelijk erbij melden dat de social security numbers niet voor identificatie gebruikt moesten worden, maar dat hebben ze uiteindelijk maar opgegeven.

Hier een interessante video er over: https://youtu.be/Erp8IAUouus
Ik zit zelf bij T Mobile USA en heb nog nooit mijn SSN afgegeven. Dat is enkel soms nodig als je een lening afsluit - ofwel een telefoon op afbetaling koopt.

(Overigens meestal kun je je SSN wel 'geheim' houden - inclusief kabel, gas, etc waar ik ook nooit mijn SSN heb afgegeven. Hangt ook van de maatschappij af en de buurt waarin je woont. Men vraagt veel en snel, maar met enig tegengas is het vaak niet nodig.)

Dus - als dit waar is - is het enkel SSN's zijn voor een subgroep.

Maar niettemin verontrustend.
Dit zou betekenen dat ze vrijwel het gehele klantenbestand buit hebben gemaakt (zie https://investor.t-mobile...020-5G-Goals/default.aspx) en dat daarmee een-derde van de volledige VS populatie zijn gegevens op straat zijn beland (zie https://nl.m.wikipedia.org/wiki/Verenigde_Staten), wat zou betekenen dat 1 op de 3 inwoners klant is bij T-mobile (inclusief kinderen en bejaarden). Dat is vrij heftig als je beseft wat je met de combi Social Security Number en nog wat andere data in de VS allemaal kan.
Misschien ook zakelijke klanten ( staat niet vermeld in het artikel, maar dat zou het iets logischer maken)
Ehm geen idee wat voor data ze allemaal door geven aan t-mobile als je een zakelijke telefoon van je werk krijgt. Kan me niet zo goed voorstellen dat ze dan een berg aan persoonlijke info verkrijgen.
Ligt heel erg aan het contract.

Wij hadden bijvoorbeeld een overeenkomst met een provider voor 500 telefoons, waarbij de provider direct de telefoons aan de gebruikers leverde en ook had elke telefoon steeds een actuele lijst met alle namen van werknemers en hun functie en afdeling in het bedrijf van jouw vestiging (privacy of niet damn wat was dit handig) en de provider had wegens uitlevering ook de adressen.
Maar geen BSN info oid en dat is nogal een cruciaal verschil in mijn ogen.
Klopt. Alles wat men had is van een soort dat men het om mij ook op een spandoek aan het gemeentehuis had mogen hangen (bij wijze van spreken)

Ik kan mij ook geen constructie voorstellen waar dit bij een zakelijk contract overhandigt dient te worden van de werknemers.
die klant of klant zijn geweest bij de provider
Niet onwaarschijnlijk is het zo dat men toegang had tot systemen, waarin alle klanten potentieel in zaten. Zo was het ook met de Equifax hack, maar dat wordt nu nog steeds gepresenteerd als dat van alle klanten buitgemaakt zijn. Dat is niet noodzakelijk zo, want toegang is niet hetzelfde als even snel alles kunnen downloaden. Soms is het een snif-systeem waardoor 'enkel' wat langs komt gevangen is.

Zo ook, weet ik uit eigen ervaring dat T Mobile niet de SSN van iedereen heeft. Dus men heeft ook niet al deze genoemde gegevens van alle klanten, maar voor velen enkel een subset.

Dus de soep is waarschijnlijk heet, maar wellicht ook weer niet helemaal kokend zeg maar :)
Jep, dit is bijna van Equifax formaat.
De gestolen data bevatten onder meer persoonsnummers, telefoonnummers, adressen en kentekennummers, beweert de verkoper.
Waarom kentekens?

https://www.nu.nl/tech/61...k.html#coral_talk_wrapper
Blijkbaar "Syncup drive" van T-mobile in USA ofzo:

https://www.t-mobile.com/...ncup-drive-setup-and-help

Soort info-tainment heb ik het idee. Licentie op basis van kenteken.

[Reactie gewijzigd door Jism op 16 augustus 2021 08:42]

Dat zou best nog wel eens legacyinformatie kunnen zijn. Ik heb ooit (lang geleden) met een systeem gewerkt voor prepaid vouchers e.d. Omdat dat systeem ooit gemaakt was in de tijd dat een mobiele telefoon vooral een autotelefoon was bestond daar de mogelijkheid om het kenteken in het systeem bij het abonnement/account op te slaan.
Ik denk meer dat het in dit geval een kwestie is van waarom niet.

Maar een kenteken kan best nuttig zijn voor criminelen. Bijv. een schattig te maken hoeveel geld iemand heeft. Meer informatie te verkrijgen bij je verzekeraar als eigenaar, of van de eigenaar als verzekeraar. Je oplichting als je autoverzekeraar.
De kans dat er data bij zitten van veel Nederlandse klanten is vermoedelijk nihil, omdat de Amerikaanse tak aparte systemen en servers gebruikt.
Er zijn duizenden Europeanen die dagelijks in de VS werken of daar lange tijd zijn (of waren). De kans is dus zeer aanwezig dat die personen als klant gewoon in die Amerikaanse systemen staan, als ze in de VS een lokaal abonnement hebben genomen.
mwa, is een definitiekwestie: een Nederlander die in Amerika wat koopt is een klant van de Amerikaanse tak, ergo een Amerikaanse klant.
Het gaat me niet zo om de definitie maar dat er waarschijnlijk toch behoorlijk wat Europese slachtoffers te verwachten zijn. Daarbij is niet eens duidelijk onder welke omstandigheden iemand al slachtoffer kan zijn. Het kan dus al net zo goed al zijn als iemand even moest roamen, terwijl men klant is bij een andere Europese provider.
Het lijkt dus weer belangrijk dat er aandacht is voor wat er werkelijk aan gegevens verwerkt worden en gelekt zijn, in plaats van het te willen hebben over aantallen onder een enkele verwachtte omstandigheid.

[Reactie gewijzigd door kodak op 16 augustus 2021 13:20]

Dat zijn gegevens die veel waard kunnen zijn voor criminelen die iemands identiteit willen stelen/gebruiken om zo allerhande creditcards en andere zaken te bemachtigen....
En als dat de gegevens van 100 miljoen personen betreft is dat een goudmijn....
Jup. DIt is een behoorlijke jackpot wat betreft persoonsgegevens.
👺Alleen Amerikaanse klanten gegevens❓

Ik hoop het niet dat ze ook over europese en Nederlandse T-Mobile gegevens beschikken.

Lex

[Reactie gewijzigd door LEX63 op 16 augustus 2021 10:17]

.

[Reactie gewijzigd door ErikvanStraten op 16 augustus 2021 11:34]

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee