Hacker achter aanval op Amerikaanse tak T-Mobile: 'Beveiliging is slecht'

De hacker die de Amerikaanse tak van T-Mobile heeft aangevallen en daarbij persoonlijke data van 48,7 miljoen personen heeft buitgemaakt, vertelde aan The Wall Street Journal dat hij toegang kreeg tot de data via een onbeveiligde router. "De beveiliging is slecht", klinkt het.

De 21-jarige hacker, die zich verschuilde achter het pseudoniem John Binns, vertelde via Telegram aan journalisten van The Wall Street Journal dat hij achter de aanval zat op de Amerikaanse tak van T-Mobile waarbij de gegevens van 48,7 miljoen Amerikanen gestolen werden. De data omvat voor- en achternamen, geboortedata, social security numbers en rijbewijs- of id-kaartinformatie.

Binns vertelde dat hij T-Mobiles internetadressen afzocht op zoek naar kwetsbaarheden. Dat deed hij naar eigen zeggen met een ‘simpele tool’ die beschikbaar is voor het grote publiek. Hij ontdekte bijgevolg een onbeveiligde router van het bedrijf die aangesloten was op het net en gebruikte die om toegang te krijgen tot het datacentrum van de operator in de noordwestelijke Amerikaanse staat Washington. Van dit centrum had hij inloggegevens buitgemaakt en nadat hij zichzelf naar binnen had gehackt, kon de man meer dan honderd servers bereiken. Vervolgens duurde het een week om die servers uit te pluizen. Binns vond in die tijd de persoonlijke data van 48,7 miljoen Amerikanen, waaronder huidige, voormalige en potentiële klanten van de Amerikaanse telecomoperator.

Op 4 augustus zou de man de data hebben gestolen. Op 13 augustus waarschuwde het Amerikaanse securitybedrijf Unit221B dat consumentendata van T-Mobile te koop werd aangeboden op internet, en dat voor zes bitcoin. Dat deed de Amerikaanse operator een onderzoek openen naar een potentiële inbreuk in hun systemen. T-Mobile bevestigde enkele dagen later dat de data van 48,7 miljoen van zijn klanten was gestolen. De kwetsbaarheid was volgens woordvoerders van het bedrijf intussen verholpen.

Of de hacker de data effectief verkocht heeft en of hij hiervoor is betaald, wou hij niet kwijt aan de journalisten van The Wall Street Journal. Het is ook onduidelijk of hij alleen werkte, al sprak hij volgens de krant over een ‘samenwerking’ met anderen om bepaalde logingegevens te bemachtigen. Met de hack wou de hacker aandacht trekken. "Ophef creëren was een doel", stelde hij tegenover The Wall Street Journal. "Ik raakte in paniek, want ik had plots toegang tot iets groots. De beveiliging van T-Mobile is slecht", stelde hij.

Screenshot die de hacker maakte van interne T-Mobile-server

Door Jay Stout

Redacteur

Feedback • 26-08-2021 18:3041

26-08-2021 • 18:30

41 Linkedin

Lees meer

Onderzoekers ontdekken kwetsbaarheden die duizenden bluetoothapparaten treffen Nieuws van 2 september 2021
T-Mobile: hackers stalen ook telefoonnummers en imei's van miljoenen Amerikanen Nieuws van 20 augustus 2021
T-Mobile: gegevens van bijna 49 miljoen Amerikanen werden buitgemaakt bij hack Nieuws van 18 augustus 2021
T-Mobile onderzoekt claim van diefstal gegevens 100 miljoen Amerikaanse klanten Nieuws van 16 augustus 2021
Meer producten en artikelen
Beveiliging en antivirus T-Mobile Hackers Hackerspace

Reacties (41)

-Moderatie-faq
41
41
31
1
0
6
Wijzig sortering
mrbullet
26 augustus 2021 18:34
Met welke 'simpele tools' kan men zo'n onderzoek uitvoeren eigenlijk?
freedzed6
@mrbullet27 augustus 2021 00:22
gewoon een scanner en je komt al heel ver. Zoals NMAP.
Verder ben ik wel bekend met grote NL provider's en een medewerker collega zei ooit eens dat:
"er aardig wat dingen open staan maar je het wel moet weten". Kennis is dus alles.

Weet ook dat er voor het beheer van routers etc een management netwerk ligt die meestal centraal beheert, beveiligd en benaderd wordt. Ook handig om te weten dat DIT juist goed moet staan met firewall's, acl's en segmentatie etc.

Maar helaas alles ten spijt van deze mooie manager en senior engineers praat, feit is gewoon dat er aardig veel open staat bij netwerk ISP's maar men het niet eens weet, soms heb je net dat ene weetje om voorbij een apparaat te komen waar andere 100-den hackers afhaakten. Eenmaal binnen of op een van die apparaten heb je meestal vrij spel.

[Reactie gewijzigd door freedzed6 op 27 augustus 2021 00:23]

d3burt
@freedzed627 augustus 2021 16:23
Soms ontstaan dat soort gaten door domme GUI bugs. Ik ben een keer een complexe acces list tegengekomen met net voor de drop aan het einde een rule die 172.16.16.0/0 toestond. Dat wordt dus in de router 0.0.0.0/0 oftewel "any". De GUI van het bewuste product had niet geklaagd dat er overtollige bits in het adres stonden of op andere wijze aan de bel getrokken, dus als de "/0" je niet toevallig opvalt lees je er zo overheen. Pas als je de access list op de CLI dumpt zie je de any/any rule in zijn volle glorie.

Ik vind dat GUI's en firewalls niet samengaan, maar ik ben dan ook erg ouderwets :-)
ro3lie
@d3burt29 augustus 2021 15:57
Bugs is hier geen excuus.
Periodieke controles? Audits? Pentests?
Die vangen dit soort zaken af.

Veel van die zaken kan je ook nog automatiseren, waardoor je direct ziet dat je poorten openstaan.

Vergeet ook niet syslogging met alerting, bv. dat een gebruiker 20x heeft geprobeerd in te loggen en hierna slaagde. Of dat er grote queries zijn uitgevoerd op de database..

Dit had op heel veel vlakken voorkomen kunnen worden. Althans, wel voor een grote speler als T-Mobile USA.
freedzed6
@d3burt3 september 2021 21:32
Ik ook hoor, CLI is het. Vele vinden dit steeds lastiger worden. Ook met tegenwoordig de automation weet niemand meer goed hoe het werkt. Zolang de fabrikant zijn license maar duur kan verkopen.

vroeger, toen je nog via tftp een unhashed passwd kon binnen hengelen van Buffalo State University.
daarna terug inloggen met een shell account. of de bekende windows servers met 10x %20 ( space ) of was het nou 22x etc was lachen en hidden dirs.

[Reactie gewijzigd door freedzed6 op 3 september 2021 21:35]

rapanui
@mrbullet26 augustus 2021 18:35
Shodan..

Vervolgens als je eenmaal toegang hebt tot een router of firewall een VPN tunnel configureren en je hebt toegang tot het WAN netwerk. Als T-Mobile vervolgens geen zonering en segmentering heeft toegepast dan is het kinderlijk eenvoudig om toegang te krijgen tot interne CRM systemen.

Buitengewoon kwalijk dat routers van T-Mobile USA via het publieke Internet te benaderen zijn. En waarschijnlijk met default credentials..

[Reactie gewijzigd door rapanui op 26 augustus 2021 18:43]

To_Tall
@rapanui26 augustus 2021 18:43
In Nederland is het ook gebeurd bij KPN door een 17 jarige jongen uit Barendrecht.

Hij kreeg toegang tot de core routers van KPN en is ingelogd geweest op honderden servers. In die staat kon hij verkeer van kpn klanten onderscheppen.

nieuws: KPN-hackers konden verkeer klanten mogelijk onderscheppen
juliank
@To_Tall26 augustus 2021 19:16
Gelukkig is dat dan ook in 2012.. ik geloof erin dat het heel veel verbeterd is bij die partij
Cowamundo
@juliank26 augustus 2021 20:26
Maar waren die verbeteringen er ook in de huidige mate gekomen als deze hack in 2012 niet gebeurd was? Bedrijven hebben vaak lak aan security totdat het een keer fout gaat, dan is er ineens geld voor nieuwe dingen maar vaak al snel wordt de kraan weer langzaam dicht geknepen want het is dan toch vast niet allemaal echt nodig.
Cergorach
@Cowamundo26 augustus 2021 21:30
Why fix it when it isn't broken? Is een gezegde wat vaak voorbij komt, ook in computerland. De realisatie is er niet dat het hier niet om een status gaat van veilig of niet veilig, maar eerder een staat van altijd misschien veilig, waar constant aan gewerkt en gesleuteld moet blijven worden. Gesegmenteerde netwerken lossen zeker niet alles op, want je bent nog steeds het haasje als iemand zijn SA account admin credentials ergens in een scriptje propt en die alsnog op het internet wordt gegooid... |:(

En dan ontdekt iemand opeens weer iets in een veel gebruikt sotware pakket wat misbruikt kan worden en ipv. het direct publiseren op het internet, wordt het verkocht op het DarkWeb...
cpt Iglo
@Cowamundo27 augustus 2021 09:04
Waren de deltawerken er gekomen zonder de overstromingen van 1953?

Helaas is de trend altijd dat er eerst iets ergs moet gebeuren voordat men tot actie overgaat. Zolang het gaat zo als het gaat gaat het toch goed? Probleem met dit soort dingen is nog eens dat het af en toe een bedrijf betreft en niet in 1 keer de hele natie. Als nu bijvoorbeeld in Nederland via de digitale weg iets naars gebeurd waar we allemaal ECHT last van hebben dan kan er ineens heel veel.
Iblies
@juliank26 augustus 2021 20:32
Gelukkig is dat dan ook in 2012.. ik geloof erin dat het heel veel verbeterd is bij die partij
Ik geloof er in dat er ondertussen zoveel apparatuur is bijgeplaatst dat niemand binnen het bedrijf die stelling aan durft te gaan 😃

Beveiliging is een continu-proces waarbij nieuw apparatuur altijd risico’s met zich meebrengt oa door de leercurve,
maar bij wat ouder apparatuur dat zich al bewezen heeft kan verslapping weer toeslaan.
The Realone
@Iblies27 augustus 2021 00:04
Vaak gaat het helemaal niet om het soort apparaten of de hoeveelheid ervan, maar om procedures. Iedere beheerder zal beamen dat het vanaf een x aantal servers, routers, applicaties of wat dan ook niet meer uit maakt hoeveel er bij komen. Zonder procedures en de bijbehorende controle daarop gaat het geheid fout.
Ik heb voor bedrijven gewerkt waar we aan de wieg stonden van dit soort procedureel werk en waarbij de beveiliging over de jaren heen gigantisch verbeterde ondanks dat de infra ook minstens zo hard mee groeide.
ataryan
@mrbullet26 augustus 2021 22:21
Klinkt als Nmap -O -P22 [ipadres] ....
Bergen
@ataryan26 augustus 2021 23:42
nmap is en prima tool om een range van hosts binnen een netwerk te scannen, maar op het internet is het onhandig, en het vertelt je niets over kwetsbaarheden. De hacker zei dat hij de T-Mobile range had afgezocht naar kwetsbaarheden met een 'simpele tool', en daarmee bedoelt hij vrijwel zeker Shodan. Daarmee kun je eenvoudig zoeken naar bijvoorbeeld een bepaalde soort kwetsbare webcams, of apparaten met een bepaalde versie van een SSH-server, om maar wat te noemen. En dat met een paar klikjes. Nmap kan dat in principe ook, maar het is onhandig, duurt heel erg lang, en als je een ISP scant, kan je poortscan worden gedetecteerd.
ataryan
@Bergen27 augustus 2021 09:34
Shodan host [IP] is misschien nog simpeler en breekt de wet op scannen buiten je eigen range niet eens, maar ik zit dan te denken dat een emailtje naar secops@Tmobile niet effcienter geweest was of HackerONE oid of is dat nu te onnozel van mij ? Zo trek je weer allemaal driftig zoekende MIBs aan....
Bergen
@ataryan27 augustus 2021 12:52
Dat was ongetwijfeld efficienter, maar daar verdient hij geen 6 bitcoins mee.
Johan van den Heuvel
@ataryan27 augustus 2021 10:27
pssst.... niet voorzeggen.... nah.. ze zullen toch geen default poort gebruiken.... :) (correctie: -p22)
ataryan
@Johan van den Heuvel27 augustus 2021 10:59
ah, tnx. dat is weer 't nadeel als je dat al tijden via een webui doet, dan vergeet je die details van vroegah. #greenbone
MrFax
@mrbullet26 augustus 2021 18:35
Port tracers bijvoorbeeld?
Keypunchie
@mrbullet26 augustus 2021 18:36
Shodan.

https://en.m.wikipedia.org/wiki/Shodan_(website)
stuiterveer
@mrbullet26 augustus 2021 18:40
Waarschijnlijk iets als Shodan. Geweldig simpele tool, en al vaker gebruikt om onvoldoende beveiligde apparaten/services uit te snuffelen bij andere hacks op systemen/netwerken.
Zomaareenmening
@mrbullet26 augustus 2021 18:44
Het grootste gevaar komt meestal toch van binnenuit.
Bv. door op het werk op linkjes in foute mailtjes te klikken, eigen usb sticks/drives aan te sluiten, slechte beveiliging (bv geen virusscanners) of shares die open staan. Of tijdelijk medewerkers die moedwillig e.e.a. installeren / downloaden etc etc..
memen
@Zomaareenmening26 augustus 2021 18:54
Als alle andere beveiliging perfect op orde is, blijft dat over als grootste gevaar inderdaad. Als ik het artikel lees, lijkt dat echter niet de oorzaak helemaal duidelijk hier.

[Reactie gewijzigd door memen op 26 augustus 2021 18:55]

Basxt
26 augustus 2021 18:37
Waarom plaatst men nooit die linkjes of screenshots naar waar het aangeboden werd? Is wel interessant.
To_Tall
@Basxt26 augustus 2021 18:47
Omdat het iligaal is om content die als iligaal bestempeld is aan te bieden.

En daar zijn al diverse rechtszaken geweest. PirateBay bv. Bied zelf geen content aan maar wel linkjes waar je iligaal content kan downloaden.

En ik denk dat tweakers zijn vingers daar ook niet aan zou willen branden.
Daarnaast wat heeft het voor toegevoegde waarden op het nieuws bericht?
harrytasker
@To_Tall26 augustus 2021 18:58
Interessant. Onder welke wetgeving valt het dat hackingtools illegaal zouden zijn? Copyright wetgeving? Piratebay lijkt me duidelijk, maar is Shodan dan een illegale tool?
To_Tall
@harrytasker26 augustus 2021 19:46
Ik heb het over de content die de hacker aan bied. Voor 6btc. De tools die je kan gebruiken link ik niet aan de vraag van basxt
DrBackBeat
@To_Tall26 augustus 2021 18:50
Validatie dat de persoon in kwestie inderdaad de hacker was en niet een aandachtsgeile IT-er.
WhatsappHack
@Basxt26 augustus 2021 18:38
Om juridische redenen.
Xander2
@Basxt26 augustus 2021 19:09
Ik ken ook nog een leuke manier om motorfietsen te jatten en weet waar ze naar toe gaan, omdat dat bij mij is overkomen.

Niet verantwoord om te publiceren en terecht dat ze dit niet uitlekken.
Bergen
@Basxt26 augustus 2021 23:50
Omdat de content waarschijnlijk op het dark web wordt aangeboden, en daar kun je met normale http-links niet komen. Ook niet met een normale webbrowser trouwens.
Zyphlan
26 augustus 2021 18:40
Of de hacker de data effectief verkocht heeft, en of hij hiervoor werd betaald, wou hij niet kwijt aan de journalisten van de Wall Street Journal. Het is ook onduidelijk of hij alleen werkte, al sprak hij volgens de krant over een ‘samenwerking’ met anderen om bepaalde logingegevens te bemachtigen. Met de hack wou de hacker aandacht trekken. "Ophef creëren was een doel", stelde hij tegenover de Wall Street Journal. "Ik sloeg in paniek want ik had plots toegang tot iets groots. De beveiliging van T-Mobile is slecht", stelde hij.
Ik zou ze argumenten willen geloven echter ....
Hij probeerde het wel te verkopen, dan kan die wel zeggen : Ja maar dat was om PR te creëren.
Maar had dat niet gekund door naar een journalist te lopen zoals die nu doet?
Xander2
@Zyphlan26 augustus 2021 18:50
Die jongen mag eens volwassen worden, het is tegen de wet.
Kan me ook niet voorstellen dat dit z'n eerste hack is, zou wel een erg lucky shot zijn.
Zyphlan
@Xander226 augustus 2021 18:54
Ja daarom ... als je nou een ethische hacker bent en dit doet dan zou ik het er nog mee eens kunnen zijn, alleen lijkt er hier gewoon sprake van een jochie dat niet doorheeft wat de gevolgen zijn van ze acties en nu probeert een ander beeld te schetsen.

Correctie : Jochie is ivm met ze leeftijd en dat die door ze leeftijd/jeugdigheid niet kan/wil overzien wat de gevolgen kunnen zijn van de acties die hij gepleegd heeft.

[Reactie gewijzigd door Zyphlan op 26 augustus 2021 21:10]

Audione0
@Zyphlan26 augustus 2021 20:33
Hoe kan het dat een "amateur" beveiligde netwerken kan hacken die door "professionals" zijn aangelegd?

Zegt dit iets over een amateur, of iets over professionals?

[Reactie gewijzigd door Audione0 op 26 augustus 2021 20:55]

freedzed6
@Audione027 augustus 2021 00:28
nee, heeft alles te maken dat een fabrikant het installeert en de beheerder deze update maar als deze ouder worden versloft het meestal.

Ook omdat er andere methodes zijn om het beheer te doen. ( hogere OSI laag) wat dan afdoende lijkt en men geen idee heeft hoe die oude zooi werkt (helaas weet niet iedereen meer de in's en out's van de apparatuur die er staat.

Al die zogenaamde security experts kunnen het wel een stuk veiliger maken door Basic standaarden toe te passen die al 10-tallen jaren bestaan maar ook dan is het lastig alles bij te houden en dicht te zetten omdat Klaas een test opstelling met GPRS wil testen in het testlab.
pe0mot
@Zyphlan26 augustus 2021 19:05
Alsof ethische hackers altijd ethisch verantwoord bezig zijn.
Welk bewijs is daarvoor, hoeveel % deugt niet als ze toch geld aangeboden krijgen?
Ja natuurlijk zijn er eerlijke mensen, maar hoeveel en tot welke grens?
mutley69
26 augustus 2021 20:04
Honeypots beste T-mobile?
bussie66
26 augustus 2021 23:14
Waarom moet T-Mobile in de VS iemands BSN-nr hebben?

Gelukkig is dat in Nederland niet het geval.
Niemand_Anders
@bussie6627 augustus 2021 09:19
In de VS is een SSN nodig voor een creditcheck.

In Nederland kun je bij partijen zoals Experian, EDR en BKR diezelfde gegevens ook benaderen op basis van alleen naam, adres en geboortedatum..

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee