Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

T-Mobile: gegevens van bijna 49 miljoen Amerikanen werden buitgemaakt bij hack

Bij de aanval op de Amerikaanse tak van T-Mobile zijn gegevens van zo'n 48,7 miljoen klanten, voormalige klanten of potentiële klanten buitgemaakt. Het gaat voornamelijk om namen, geboortedata en bsn's, al zijn van sommigen ook pincodes en telefoonnummers gestolen.

De Amerikaanse tak van T-Mobile schrijft te hebben geverifieerd dat aanvallers toegang hebben gekregen tot 'een subset' van T-Mobiles data. Daarbij kregen aanvallers toegang tot voor- en achternamen, geboortedata, social security numbers en rijbewijs- of id-kaartinformatie.

Volgens een voorlopige analyse gaat het om 7,8 miljoen klanten die nu een abonnement hebben bij T-Mobile. Veertig miljoen ex-klanten en potentiële klanten 'die krediet hebben aangevraagd bij T-Mobile' zijn ook slachtoffer van de aanval. Van deze groep van 47,8 miljoen gebruikers zijn geen telefoonnummers, accountnummers, pincodes, wachtwoorden of financiële informatie buitgemaakt, benadrukt T-Mobile.

Van ongeveer 850.000 prepaidklanten is er meer gelekt. Hierbij zijn naast namen ook telefoonnummers en account-pins gestolen. Van getroffenen zijn alle pincodes gereset, zegt de provider. Deze klanten worden ook door de provider geïnformeerd. Klanten van T-Mobile-dochterbedrijven zijn niet door de hackaanval getroffen. Wel is er 'extra' informatie gestolen van 'inactieve prepaidaccounts' via facturen.

T-Mobile gaat getroffenen van de aanval mailen; abonnees krijgen bijvoorbeeld het advies hun pincodes aan te passen, ook al is er volgens T-Mobile geen bewijs dat de codes van deze klanten zijn gestolen. Daarnaast komt er een webpagina met informatie over de aanval.

De aanval kwam eerder deze week aan het licht toen een hacker claimde klantgegevens van honderd miljoen Amerikanen te hebben gestolen. De crimineel verkoopt deze data nu en zegt dat er ook adressen en IMEI-nummers zijn buitgemaakt. Hij vraagt zes bitcoin voor de data.

T-Mobile zegt dat de data gestolen kon worden via een accesspoint waarmee de aanvaller toegang kreeg tot de servers van de provider. Inmiddels is dit accesspoint afgesloten. De provider zegt dat het onderzoek naar de aanval nog loopt.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Hayte Hugo

Nieuwsredacteur

18-08-2021 • 14:15

50 Linkedin

Submitter: juliank

Reacties (50)

Wijzig sortering
T-Mobile zegt dat de data gestolen kon worden via een access point waarmee de aanvaller toegang kreeg tot de servers van de provider. Inmiddels is deze access point afgesloten. De provider zegt dat het onderzoek naar de aanval nog loopt
klinkt als WiFi access point dat remote admin toestond met een default password. Dan nog steeds wonderlijk dat de bereikte server geen verdere data bescherming kende (of men wil daar niets over kwijt).

[Reactie gewijzigd door JJ Le Funk op 18 augustus 2021 14:34]

Het Arstechnica artikel van gisteren geeft meer informatie. Volgens de hacker zelf heeft hij gebruik gemaakt van een GPRS endpoint dat aan het publieke internet hing. Het zou mij niets verbazen als dat ding al in geen jaren geüpdate was en helemaal niet openbaar aan internet had moeten hangen.
Arstechnica refereert naar journalist Jerimy Kirk. Die ook een screenshot als bewijs laat zien link. Volgens zijn Twitter account heeft hij contact gehad met degene die meer informatie heeft over de gebruikte methode:
Eventually, the person says they were able to brute force/credential stuff SSH on more than 100+ servers, some Oracle. No rate limiting on those servers because they're internal, person says. Person is based in Belarus.
(Link)
Het kan ook iets anders zijn, access point is Engels voor een plek waar je toegang kunt krijgen, dus hoeft helemaal geen Wifi AP te zijn. Een slecht beveiligde VPN kan ook, of gewoon een systeem die open aan het internet hing.
Dat is een forse aanname. Ook niet de meest logische, gebrekkige netwerksegmentatie is nog voor de hand liggender. Wat moet je met remote admin op een AP als de rest van het netwerk goed afgeschermd is?
[...]


klinkt als WiFi access point dat remote admin toestond met een default password. Dan nog steeds wonderlijk dat de bereikte server geen verdere data bescherming kende (of men wil daar niets over kwijt).
Het gebeurd ook vaak dat onbevoegde toegang verkrijgen tot een gebouw, een accespoint ergens aansluiten, vervolgens vertrekken en op remote doorgaan.
Nu is het in Amerika natuurlijk wettelijk anders geregeld, maar snap niet helemaal waarom bepaalde gegevens in de database komen of blijven.
Een social security nummer is volgens mij niet noodzakelijk om een abonnement af te sluiten.
Afhankelijk van het soort abonnement wat je kiest, doen Amerikaanse providers vaak credit checks. Hiervoor is je social security nummer nodig. Los van de vraag of dit nummer al dan niet opgeslagen moet worden; is het dus vaak wel nodig voor het afsluiten van een abonnement.
Ah, dat klinkt idd logisch.

Blijf ik het nog steeds gek vinden dat je via een netwerk opening bij deze data kan.
Geen wachtwoord voor database?
staan dit soort gevoelige gegevens in plain text in de database?

Blijkbaar weegt het belang (lees kosten) van beveiliging niet op tegen mogelijke gevolgen.
T-Mobile en andere telco's doen al wat langer mee en het zal je verbazen hoeveel systemen/services uit het jaar kruik ze nog hebben draaien. Alle systemen die ouder dan ~10 jaar zijn, zijn veelal 1 grote gatenkaas. Security boeide vroeger -bijna- niemand.
Helaas is het bijna altijd hun geld en onze gegeven. 2 keer raden wat het belangrijkste is zolang de gevolgen beperkt blijven tot een negatief artikel dat mensen morgen vergeten zijn, en misschien $5 belwaarde die niemand gebruikt omdat ze een "voordelige" bundel hebben die ze toch al niet opgebruiken...
T-Mobile gaat getroffenen van de aanval mailen; abonnees krijgen bijvoorbeeld het advies hun pincodes aan te passen, ook al is er volgens T-Mobile geen bewijs dat de codes van deze klanten zijn gestolen. Daarnaast komt er een webpagina met informatie over de aanval.
Ik hoop van harte dat er een paar keer een zogeheten class action lawsuit” wordt gevoerd,
en dat meerdere gedupeerde gezamelijk aan de bel gaan trekken.

Dit soort data blijft te lang hangen en jij als klant kunt er gedupeerd van raken en mag achter de feiten aanlopen als je er al op tijd bent. Mensen gebruiken zoveel diensten tegenwoordig dat de kans groter wordt dat je ergens een keer geraakt wordt.

Ben je klant-af bij een bepaald bedrijf, dan na x-maanden deactiveren en vervolgens na een tijd compleet verwijderen en daar systematisch op controleren.
Ben het helemaal met je eens. Maar ik ben bang dat een class action in dit geval niet op zal gaan, omdat de schade die (aantoonbaar) wordt geleden, niet overal hetzelfde zal zijn.

Er zouden boetes of dwangsommen moeten komen per overtreding per individu. Dan loopt de teller snel op en loont het waarschijnlijk veel meer om de beveiliging te verbeteren
Zoals Jannis zegt is het afhankelijk van het soort abonnement.
Wat meer informatie:

Als je een telefoon bij een abonnement neemt dat je maandelijks extra voor betaald, dan is social security nummer verplicht bij T-Mobile.

Als je een post-paid abonnement wilt (wat de meeste dus hebben/willen), vragen ze altijd ook voor het social security nummer. Het is mogelijk om een post-paid abonnement af te sluiten zonder social security nummer, maar dan betaal je 3x the maandprijs als borg. Ook de meeste verkopers weten dat niet, dus die zullen zeggen dat het niet kan totdat je hun helpdesk belt.

Waarom ze de nummers bewaren? Ik gok dat het is zodat ze non-betalingen kunnen melden bij de verschillende kredietbureaus en/of als een klant een nieuwe telefoon wilt met maandelijkse betalingen.

Bron: Ik ben klant geweest van T-Mobile in de VS
Tot 2008/2009 waren telecom bedrijven in Nederland ook verplicht om het abonnement door te geven aan het BKR. Dergelijke contracten kregen dan een TC codering.

Later zijn de telecom bedrijven vooral gaan werken met bedrijven zoals Experian en EDR welke veel goedkoper zijn een BKR aansluiting en uiteindelijk is de BKR registratie komen te vervallen..
In de VS zijn er staten die net als hier in Europa privacy belangrijk vinden, bijvoorbeeld Californie. Het verbaasd mij dan ook wel een beetje dat de data niet met een goede encryptie opgeslagen was.
Ook is 49 miljoen records geen klein beetje data om over het netwerk te pompen, dus er is veel mis.

De vraag die ik dan gelijk stel, hoe heeft T-Mobile dat hier in Nederland geregeld, hebben ze als "budget" provider daar hier ook op bezuinigd?
De aanname dat er geen encryptie was of hier zou helpen gaat niet zomaar op.

Data moet ook beschikbaar en bruikbaar zijn. Ergens zal het dus onversleuteld verwerkt worden. Als een crimineel daarbij kan heb je aan die encryptie dan niets.
Ook kan je bepaalde gegevens wel versleutelen, zoals een pin code,creditcard nummer of social security nummer, maar dat is vaak snel te kraken. Vaak is een hash dan helaas geen optie door andere regels.
T-Mobile is imho geen budget-provider / prijsvechter. Dat zijn eerder bedrijven als Ben, dat van hen ruimte op hun netwerk huurt.

Beveiliging kun je zo duur maken als je zelf wil maar een database afschermen tegen blijkbaar vrijwel onbeperkt gebruik is eerder standaard dan een exotische, dure optie.

Normaal gesproken heeft een T-Mobile medewerker of wederverkoper natuurlijk geen honderden of duizenden lemma’s nodig op een dag, dus dat account dichtzetten / loggen / vlaggen bij abnormaal veel pogingen zou al heel veel helpen voorkomen.
Ik vind dit nog wel het meest opmerkelijk:
Veertig miljoen ex-klanten en potentiële klanten 'die krediet hebben aangevraagd bij T-Mobile' zijn ook slachtoffer van de aanval.
Potentiele klanten kan ik mij nog voorstellen. Maar die ex-klanten: waarom staat die informatie daar nog? Wat moet T-Mobile nog met die gegevens? Ik weet niet hoe ver terug de gegevens gaan, maar 40 miljoen is waarschijnlijk niet een getal wat bij 1 maand aan ex-klanten hoort.
Wellicht zijn bedrijven in de VS (nog) niet verplicht data van ex-klanten te verwijderen. En als verwijderen een actieve daad is, die niet verplicht is, moet je daar tijd en geld in steken. Geld dat je ook als divident aan je aandeelhouders kunt uitkeren.

Niet om het goed te praten, maar ik gok dat deze redenering voor veel partijen die met data te maken hebben standaard is.

[Reactie gewijzigd door Niekleair op 18 augustus 2021 16:23]

Snap je opmerking op zich wel maar zelf vuurde ik vooral op die potentiële klanten term.

Zijn klanten en ex-klanten nog redelijk eenduidige omschrijvingen. Wat kwalificeert iemand als een potentiële klant? Wordt door alle T-mobile medewerkers dezelfde definitie hiervoor gehanteerd?

In het ergste geval is namelijk iedereen die niet T-mobile klant is "potentiële klant". Hoe schizofreen dit kan uitpakken hebben we al met die reclame richtlijnen gezien. Dit klinkt mij weer als een nieuwe tool om een relatie met een nietsvermoedende burger mee te definiëren.
Ik interpreteer potentiele klanten hier als mensen die nog niet door bijv. een credit check process zijn gehaald, waar nog een ID-check gedaan moet worden, etc. Maar wellicht is het inderdaad breder dan wat ik zelf dacht :)
Mooi, ben pre-paid klant bij T-mobile US maar heb er 0 communicatie over ontvangen. Toch bijzonder...
Mijn vrouw en ik zitten ook pre-paid bij t-mobile. Ook nog niets gezien. Kan me niet herinneren of ik m’n ssn moest aanleveren bij het afsluiten destijds
Voor pre-paid was dat voor ons niet nodig dus dat is ons bespaard gebleven. Evengoed genoeg data die ze kunnen misbruiken.
Bij Techdirt.com bespreken ze regelmatig hacks, en ze hebben er zelfs een term voor bedacht "Geigner's Effect". Dat bij elke data breach worden eerst minder, dan meer, en dan heel veel meer accounts getroffen.

https://www.techdirt.com/blog/?tag=geigner%27s+effect

Als alle accounts (dat zijn er 105M in de US) getroffen zijn dan kunnen we wachten op het laatste nieuws dat het alle accounts betrof. Je zou verwachten dat als een hacker 105M queries uitvoert op een database dat je dit ergens monitort?
Select * From Table is natuurlijk maar 1 query, maar inderdaad zouden er ergens wel bellen moeten afgaan, maar dan kan het natuurlijk ook al te laat zijn voordat er wordt ingegrepen.
Er is hier echter wel meer dan 1 ding fout gegaan!

[Reactie gewijzigd door chielsen op 19 augustus 2021 00:11]

Mja of een limiet dat je niet meer dan bijv 1000 rijen kunt ophalen tegelijk, en zodra dat aantal überhaupt wordt bereikt, of iets boven de 800, er meldingen uit gaan.

Op welk moment moet je met 1 query zoveel accounts ophalen. Een zoekopdracht doet normaliteiten een selectie met de beste matches, bijv 50. En door meer zoekwoorden te gebruiken verbeter je de relevantie.

Een tabel weergave met klanten doet normaliter een pagination of lazy loading om de database niet te belasten met een mega query waarvan je 99% van de rijen niet eens nodig hebt.

Dus ja, theoretisch is het af te vangen. Ik weet alleen niet of een database systeem zo in te regelen is dat de theorie van mij hierboven überhaupt kan qua monitoring.
Enterprise database systemen zoals die van Microsoft, Oracle en IBM hebben allerlei uitgebreide audit mogelijkheden. Statements welke niet voldoen aan de audit rules, komen terug in de SQL management logs. Maar helaas zijn er meer dan voldoende bedrijven welke dergelijke logs niet automatisch verwerken en dus deze alleen bekijken na een incident.. Dat betekend vaak dat brute force login pogingen welke al dagen aan de gang is niet opgemerkt worden.

Je kunt dergelijke audit rules zelfs instellen per user of groep. Via de audit rules kun je ook queries (zoals deletes) blokkeren of juist controleren of een select query een top/limit clause heeft.
Dat tv van ze met die 4 cijferige code. Elke keer moet ik andere afmelden. Dat is ook raar. Niemand weet men code. Gebeld hiervoor maar snapte ze niet. Je hebt 9999 mogelijkheden per klantnummer ik zie mogelijkheden. Je weet waar een klantnummer range start en stopt. Ik heb wel eens ooit op mijn klantnummer allle codes geprobeert kreeg op het oude anywhere tv een mooie success toen mijn code aan de beurt was. Weet niet hoe het nu is

[Reactie gewijzigd door Core2016 op 18 augustus 2021 18:15]

Het waren er in totaal 100 miljoen toch? Zijn de rest mensen uit andere landen? Enig idee hoeveel Nederlands er getroffen zijn?
T-Mobile Nederland is een losstaande entiteit dacht ik. Eigen administratie, eigen systemen. Lijkt me ergens niet.
Formeel moet data van Europese klanten in de EU blijven dus kan me voorstellen dat T-Mobile Nederland alleen al daarom sowieso een aparte databank heeft, apart bedrijf is.
Ik zou toch echt graag die veilige data kluis een keer zien. Alleen de cruciale gegevens in je live database, en alle facturen en oude klantdata lekker in een offline archief.
Bedrijven zijn informatie geil.. informatie is kennis en kennis is macht/ geld waard... In het verleden voor diverse bedrijven gewerkt, die allemaal zoveel mogelijk informatie over de klant wilden verkrijgen en die cultuur is pas de laatste jaren aan het omslaan, omdat men steeds meer erachter komt dat de informatie die wordt vergaart ook misbruikt kan worden... helaas gaat dit nog niet snel genoeg en wordt je toch nog te pas en te onpas het hemd van het lijf gevraagd... en ook is het zo, als je een bepaald gegeven niet zomaar wil invullen, kom je niet verder in het proces... zelfs onze eigen overheid die via de postbus 51 aangeeft dat je niet zomaar je BSN of andere prive data moet delen maakt de fout dat als je een KOR regeling aanvraagt (kleine ondernemers regeling) om de BTW van je investering in duurzame energie terug wilt vragen vrolijk je BSN nummer als ondernemingsnummer voor de KOR gebruiken. Pas sinds een korte periode zijn ze daan eindelijk vanaf gestapt als ik me niet vergis.

Dat je gegevens niet in alle situaties beveiligd zijn blijkt steeds vaker door de vele hacks die plaatsvinden en de gegevens die vervolgens worden buit gemaakt. Nu lijkt het in sommige gevallen mee te vallen met de soort data die wordt buitgemaakt, maar wie zegt ons niet dat er inmiddels een database aan het groeien is buiten het zicht waar al deze gestolen stukjes informatie niet worden samengebreid tot 1 geheel, waardoor iemand zijn 'digitale' leven volledig inzichtelijk is.. BSN met email hier, rekening nummer met email daar, adres gegeven met email zus, adres met rekeningnummer daar o en toevallig hebben we geboortedatum en rekeningnummer nog van die plek kunnen halen... en voila we hebben email/bsn/adres/rekeningnummer/geboortedatum --> nu gaan we kijken of we iemand zijn identiteit kunnen gaan overnemen... want de meest gestelde vragen kunnen we beantwoorden als we bijvoorbeeld de bank bellen voor een lening...

Waarom moet ik bij elke bestelling ook mijn geboortedatum ingeven ?? waar is dat voor nodig en o ja zonder dat in te vullen kan ik niet verder... maar vul ik mijn echte geboortedatum in?
Veel bedrijven gebruiken bijvoorbeeld postcode/huisnummer/geboortedatum als unieke combi om klanten uit elkaar te houden / te controleren of je een bestaande of nieuwe klant bent op toevallig hetzelfde adres etc.

Afgezien van de vraag hoe wenselijk dit is qua privacy, is het gewoon een puur praktische afweging. Vraag als autoverzekering je klanten maar eens om hun polisnummer op het moment dat ze een schade melden. Hele volksstammen kunnen die polis niet meer vinden, al helemaal niet meer nu alles per email gaat.

Daarom verwacht ik dat op lange termijn steeds meer identificatie gaat verlopen via digid en idin. Ik snap dat niet iedereen dat ideaal vindt qua privacy maar ideaal bestaat niet als het om identificatie gaat en het alternatief is erger: Fraude, tig verschillende databases met een veel groter aanvalsvlak, veel hogere kosten en en veel verouderde gegevens, waar veel meer mensen bij kunnen.
Misschien moeten al die bedrijven maar eens collectief gaan investeren in een gezamelijk "schild" tegen dit soort zaken. Dit soort gegevens moeten veel beter beschermd worden...
Dat is er, mits men werkt conform : https://www.ietf.org/standards/rfcs/
En dan ook de beveiliging ervan goed zet, dat scheelt denk ik zo 80% van de hacks

ga zelf maar eens kijken naar wat websites.
Met b.v. ssllabs.com en https://securityheaders.com/
RFCs gaan je lang niet altijd helpen hoor. Daar zijn voornamelijk andere standaardiseringsbodies voor. De RFCs van IETF zijn grotendeels gericht op interoperabiliteit van de communicatie. Met een paar daartussen die gericht zijn op het interoperabel toepassen van encryptie.

Edit: Denk dat je in de huidige digitale tijd nog het best afbent met RFC1149 trouwens :+

[Reactie gewijzigd door aikebah op 21 augustus 2021 08:04]

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True