Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Hacker achter aanval op Amerikaanse tak T-Mobile: 'Beveiliging is slecht'

De hacker die de Amerikaanse tak van T-Mobile heeft aangevallen en daarbij persoonlijke data van 48,7 miljoen personen heeft buitgemaakt, vertelde aan The Wall Street Journal dat hij toegang kreeg tot de data via een onbeveiligde router. "De beveiliging is slecht", klinkt het.

De 21-jarige hacker, die zich verschuilde achter het pseudoniem John Binns, vertelde via Telegram aan journalisten van The Wall Street Journal dat hij achter de aanval zat op de Amerikaanse tak van T-Mobile waarbij de gegevens van 48,7 miljoen Amerikanen gestolen werden. De data omvat voor- en achternamen, geboortedata, social security numbers en rijbewijs- of id-kaartinformatie.

Binns vertelde dat hij T-Mobiles internetadressen afzocht op zoek naar kwetsbaarheden. Dat deed hij naar eigen zeggen met een ‘simpele tool’ die beschikbaar is voor het grote publiek. Hij ontdekte bijgevolg een onbeveiligde router van het bedrijf die aangesloten was op het net en gebruikte die om toegang te krijgen tot het datacentrum van de operator in de noordwestelijke Amerikaanse staat Washington. Van dit centrum had hij inloggegevens buitgemaakt en nadat hij zichzelf naar binnen had gehackt, kon de man meer dan honderd servers bereiken. Vervolgens duurde het een week om die servers uit te pluizen. Binns vond in die tijd de persoonlijke data van 48,7 miljoen Amerikanen, waaronder huidige, voormalige en potentiële klanten van de Amerikaanse telecomoperator.

Op 4 augustus zou de man de data hebben gestolen. Op 13 augustus waarschuwde het Amerikaanse securitybedrijf Unit221B dat consumentendata van T-Mobile te koop werd aangeboden op internet, en dat voor zes bitcoin. Dat deed de Amerikaanse operator een onderzoek openen naar een potentiële inbreuk in hun systemen. T-Mobile bevestigde enkele dagen later dat de data van 48,7 miljoen van zijn klanten was gestolen. De kwetsbaarheid was volgens woordvoerders van het bedrijf intussen verholpen.

Of de hacker de data effectief verkocht heeft en of hij hiervoor is betaald, wou hij niet kwijt aan de journalisten van The Wall Street Journal. Het is ook onduidelijk of hij alleen werkte, al sprak hij volgens de krant over een ‘samenwerking’ met anderen om bepaalde logingegevens te bemachtigen. Met de hack wou de hacker aandacht trekken. "Ophef creëren was een doel", stelde hij tegenover The Wall Street Journal. "Ik raakte in paniek, want ik had plots toegang tot iets groots. De beveiliging van T-Mobile is slecht", stelde hij.

Screenshot die de hacker maakte van interne T-Mobile-server

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Jay Stout

Nieuwsposter

26-08-2021 • 18:30

41 Linkedin

Reacties (41)

Wijzig sortering
Met welke 'simpele tools' kan men zo'n onderzoek uitvoeren eigenlijk?
gewoon een scanner en je komt al heel ver. Zoals NMAP.
Verder ben ik wel bekend met grote NL provider's en een medewerker collega zei ooit eens dat:
"er aardig wat dingen open staan maar je het wel moet weten". Kennis is dus alles.

Weet ook dat er voor het beheer van routers etc een management netwerk ligt die meestal centraal beheert, beveiligd en benaderd wordt. Ook handig om te weten dat DIT juist goed moet staan met firewall's, acl's en segmentatie etc.

Maar helaas alles ten spijt van deze mooie manager en senior engineers praat, feit is gewoon dat er aardig veel open staat bij netwerk ISP's maar men het niet eens weet, soms heb je net dat ene weetje om voorbij een apparaat te komen waar andere 100-den hackers afhaakten. Eenmaal binnen of op een van die apparaten heb je meestal vrij spel.

[Reactie gewijzigd door freedzed6 op 27 augustus 2021 00:23]

Soms ontstaan dat soort gaten door domme GUI bugs. Ik ben een keer een complexe acces list tegengekomen met net voor de drop aan het einde een rule die 172.16.16.0/0 toestond. Dat wordt dus in de router 0.0.0.0/0 oftewel "any". De GUI van het bewuste product had niet geklaagd dat er overtollige bits in het adres stonden of op andere wijze aan de bel getrokken, dus als de "/0" je niet toevallig opvalt lees je er zo overheen. Pas als je de access list op de CLI dumpt zie je de any/any rule in zijn volle glorie.

Ik vind dat GUI's en firewalls niet samengaan, maar ik ben dan ook erg ouderwets :-)
Bugs is hier geen excuus.
Periodieke controles? Audits? Pentests?
Die vangen dit soort zaken af.

Veel van die zaken kan je ook nog automatiseren, waardoor je direct ziet dat je poorten openstaan.

Vergeet ook niet syslogging met alerting, bv. dat een gebruiker 20x heeft geprobeerd in te loggen en hierna slaagde. Of dat er grote queries zijn uitgevoerd op de database..

Dit had op heel veel vlakken voorkomen kunnen worden. Althans, wel voor een grote speler als T-Mobile USA.
Ik ook hoor, CLI is het. Vele vinden dit steeds lastiger worden. Ook met tegenwoordig de automation weet niemand meer goed hoe het werkt. Zolang de fabrikant zijn license maar duur kan verkopen.

vroeger, toen je nog via tftp een unhashed passwd kon binnen hengelen van Buffalo State University.
daarna terug inloggen met een shell account. of de bekende windows servers met 10x %20 ( space ) of was het nou 22x etc was lachen en hidden dirs.

[Reactie gewijzigd door freedzed6 op 3 september 2021 21:35]

Shodan..

Vervolgens als je eenmaal toegang hebt tot een router of firewall een VPN tunnel configureren en je hebt toegang tot het WAN netwerk. Als T-Mobile vervolgens geen zonering en segmentering heeft toegepast dan is het kinderlijk eenvoudig om toegang te krijgen tot interne CRM systemen.

Buitengewoon kwalijk dat routers van T-Mobile USA via het publieke Internet te benaderen zijn. En waarschijnlijk met default credentials..

[Reactie gewijzigd door rapanui op 26 augustus 2021 18:43]

In Nederland is het ook gebeurd bij KPN door een 17 jarige jongen uit Barendrecht.

Hij kreeg toegang tot de core routers van KPN en is ingelogd geweest op honderden servers. In die staat kon hij verkeer van kpn klanten onderscheppen.

nieuws: KPN-hackers konden verkeer klanten mogelijk onderscheppen
Gelukkig is dat dan ook in 2012.. ik geloof erin dat het heel veel verbeterd is bij die partij
Maar waren die verbeteringen er ook in de huidige mate gekomen als deze hack in 2012 niet gebeurd was? Bedrijven hebben vaak lak aan security totdat het een keer fout gaat, dan is er ineens geld voor nieuwe dingen maar vaak al snel wordt de kraan weer langzaam dicht geknepen want het is dan toch vast niet allemaal echt nodig.
Why fix it when it isn't broken? Is een gezegde wat vaak voorbij komt, ook in computerland. De realisatie is er niet dat het hier niet om een status gaat van veilig of niet veilig, maar eerder een staat van altijd misschien veilig, waar constant aan gewerkt en gesleuteld moet blijven worden. Gesegmenteerde netwerken lossen zeker niet alles op, want je bent nog steeds het haasje als iemand zijn SA account admin credentials ergens in een scriptje propt en die alsnog op het internet wordt gegooid... |:(

En dan ontdekt iemand opeens weer iets in een veel gebruikt sotware pakket wat misbruikt kan worden en ipv. het direct publiseren op het internet, wordt het verkocht op het DarkWeb...
Waren de deltawerken er gekomen zonder de overstromingen van 1953?

Helaas is de trend altijd dat er eerst iets ergs moet gebeuren voordat men tot actie overgaat. Zolang het gaat zo als het gaat gaat het toch goed? Probleem met dit soort dingen is nog eens dat het af en toe een bedrijf betreft en niet in 1 keer de hele natie. Als nu bijvoorbeeld in Nederland via de digitale weg iets naars gebeurd waar we allemaal ECHT last van hebben dan kan er ineens heel veel.
Gelukkig is dat dan ook in 2012.. ik geloof erin dat het heel veel verbeterd is bij die partij
Ik geloof er in dat er ondertussen zoveel apparatuur is bijgeplaatst dat niemand binnen het bedrijf die stelling aan durft te gaan 😃

Beveiliging is een continu-proces waarbij nieuw apparatuur altijd risico’s met zich meebrengt oa door de leercurve,
maar bij wat ouder apparatuur dat zich al bewezen heeft kan verslapping weer toeslaan.
Vaak gaat het helemaal niet om het soort apparaten of de hoeveelheid ervan, maar om procedures. Iedere beheerder zal beamen dat het vanaf een x aantal servers, routers, applicaties of wat dan ook niet meer uit maakt hoeveel er bij komen. Zonder procedures en de bijbehorende controle daarop gaat het geheid fout.
Ik heb voor bedrijven gewerkt waar we aan de wieg stonden van dit soort procedureel werk en waarbij de beveiliging over de jaren heen gigantisch verbeterde ondanks dat de infra ook minstens zo hard mee groeide.
Klinkt als Nmap -O -P22 [ipadres] ....
nmap is en prima tool om een range van hosts binnen een netwerk te scannen, maar op het internet is het onhandig, en het vertelt je niets over kwetsbaarheden. De hacker zei dat hij de T-Mobile range had afgezocht naar kwetsbaarheden met een 'simpele tool', en daarmee bedoelt hij vrijwel zeker Shodan. Daarmee kun je eenvoudig zoeken naar bijvoorbeeld een bepaalde soort kwetsbare webcams, of apparaten met een bepaalde versie van een SSH-server, om maar wat te noemen. En dat met een paar klikjes. Nmap kan dat in principe ook, maar het is onhandig, duurt heel erg lang, en als je een ISP scant, kan je poortscan worden gedetecteerd.
Shodan host [IP] is misschien nog simpeler en breekt de wet op scannen buiten je eigen range niet eens, maar ik zit dan te denken dat een emailtje naar secops@Tmobile niet effcienter geweest was of HackerONE oid of is dat nu te onnozel van mij ? Zo trek je weer allemaal driftig zoekende MIBs aan....
Dat was ongetwijfeld efficienter, maar daar verdient hij geen 6 bitcoins mee.
pssst.... niet voorzeggen.... nah.. ze zullen toch geen default poort gebruiken.... :) (correctie: -p22)
ah, tnx. dat is weer 't nadeel als je dat al tijden via een webui doet, dan vergeet je die details van vroegah. #greenbone
Port tracers bijvoorbeeld?
Waarschijnlijk iets als Shodan. Geweldig simpele tool, en al vaker gebruikt om onvoldoende beveiligde apparaten/services uit te snuffelen bij andere hacks op systemen/netwerken.
Het grootste gevaar komt meestal toch van binnenuit.
Bv. door op het werk op linkjes in foute mailtjes te klikken, eigen usb sticks/drives aan te sluiten, slechte beveiliging (bv geen virusscanners) of shares die open staan. Of tijdelijk medewerkers die moedwillig e.e.a. installeren / downloaden etc etc..
Als alle andere beveiliging perfect op orde is, blijft dat over als grootste gevaar inderdaad. Als ik het artikel lees, lijkt dat echter niet de oorzaak helemaal duidelijk hier.

[Reactie gewijzigd door memen op 26 augustus 2021 18:55]

Waarom plaatst men nooit die linkjes of screenshots naar waar het aangeboden werd? Is wel interessant.
Omdat het iligaal is om content die als iligaal bestempeld is aan te bieden.

En daar zijn al diverse rechtszaken geweest. PirateBay bv. Bied zelf geen content aan maar wel linkjes waar je iligaal content kan downloaden.

En ik denk dat tweakers zijn vingers daar ook niet aan zou willen branden.
Daarnaast wat heeft het voor toegevoegde waarden op het nieuws bericht?
Interessant. Onder welke wetgeving valt het dat hackingtools illegaal zouden zijn? Copyright wetgeving? Piratebay lijkt me duidelijk, maar is Shodan dan een illegale tool?
Ik heb het over de content die de hacker aan bied. Voor 6btc. De tools die je kan gebruiken link ik niet aan de vraag van basxt
Validatie dat de persoon in kwestie inderdaad de hacker was en niet een aandachtsgeile IT-er.
Ik ken ook nog een leuke manier om motorfietsen te jatten en weet waar ze naar toe gaan, omdat dat bij mij is overkomen.

Niet verantwoord om te publiceren en terecht dat ze dit niet uitlekken.
Omdat de content waarschijnlijk op het dark web wordt aangeboden, en daar kun je met normale http-links niet komen. Ook niet met een normale webbrowser trouwens.
Of de hacker de data effectief verkocht heeft, en of hij hiervoor werd betaald, wou hij niet kwijt aan de journalisten van de Wall Street Journal. Het is ook onduidelijk of hij alleen werkte, al sprak hij volgens de krant over een ‘samenwerking’ met anderen om bepaalde logingegevens te bemachtigen. Met de hack wou de hacker aandacht trekken. "Ophef creëren was een doel", stelde hij tegenover de Wall Street Journal. "Ik sloeg in paniek want ik had plots toegang tot iets groots. De beveiliging van T-Mobile is slecht", stelde hij.
Ik zou ze argumenten willen geloven echter ....
Hij probeerde het wel te verkopen, dan kan die wel zeggen : Ja maar dat was om PR te creëren.
Maar had dat niet gekund door naar een journalist te lopen zoals die nu doet?
Die jongen mag eens volwassen worden, het is tegen de wet.
Kan me ook niet voorstellen dat dit z'n eerste hack is, zou wel een erg lucky shot zijn.
Ja daarom ... als je nou een ethische hacker bent en dit doet dan zou ik het er nog mee eens kunnen zijn, alleen lijkt er hier gewoon sprake van een jochie dat niet doorheeft wat de gevolgen zijn van ze acties en nu probeert een ander beeld te schetsen.

Correctie : Jochie is ivm met ze leeftijd en dat die door ze leeftijd/jeugdigheid niet kan/wil overzien wat de gevolgen kunnen zijn van de acties die hij gepleegd heeft.

[Reactie gewijzigd door Zyphlan op 26 augustus 2021 21:10]

Hoe kan het dat een "amateur" beveiligde netwerken kan hacken die door "professionals" zijn aangelegd?

Zegt dit iets over een amateur, of iets over professionals?

[Reactie gewijzigd door Audione0 op 26 augustus 2021 20:55]

nee, heeft alles te maken dat een fabrikant het installeert en de beheerder deze update maar als deze ouder worden versloft het meestal.

Ook omdat er andere methodes zijn om het beheer te doen. ( hogere OSI laag) wat dan afdoende lijkt en men geen idee heeft hoe die oude zooi werkt (helaas weet niet iedereen meer de in's en out's van de apparatuur die er staat.

Al die zogenaamde security experts kunnen het wel een stuk veiliger maken door Basic standaarden toe te passen die al 10-tallen jaren bestaan maar ook dan is het lastig alles bij te houden en dicht te zetten omdat Klaas een test opstelling met GPRS wil testen in het testlab.
Alsof ethische hackers altijd ethisch verantwoord bezig zijn.
Welk bewijs is daarvoor, hoeveel % deugt niet als ze toch geld aangeboden krijgen?
Ja natuurlijk zijn er eerlijke mensen, maar hoeveel en tot welke grens?
Honeypots beste T-mobile?
Waarom moet T-Mobile in de VS iemands BSN-nr hebben?

Gelukkig is dat in Nederland niet het geval.
In de VS is een SSN nodig voor een creditcheck.

In Nederland kun je bij partijen zoals Experian, EDR en BKR diezelfde gegevens ook benaderen op basis van alleen naam, adres en geboortedatum..

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True