通信事業者大手のT-Mobile社は2021年8月16日、T-Mobile USAの1億人の顧客の個人情報が流出したとハッカーが主張している情報流出の範囲を調査していると発表しました。この情報には、氏名、社会保障番号、住所、生年月日、電話番号、セキュリティ用暗証番号、および各顧客のモバイル機器を特定するための情報が含まれている場合が多くあります。
日曜日(021年8月15日)、Vice.comは、何者かが1億人分のデータを販売しており、そのデータがT-Mobile社のものであるというニュースを伝えました。本日、同社はウェブサイトに掲載した声明の中で、「一部のT-Mobileデータ」に関わる不正侵入があったことを確認しましたが、何が盗まれたのか、どれくらいの顧客が影響を受けるのかを知るには調査が早すぎると述べています。
盗まれたとされるT-Mobileの顧客データに結びついたセールススレッド。
T-Mobile社は、「一部のT-Mobileデータへの不正アクセスが発生したと判断していますが、関連する個人顧客データがあるとはまだ判断していません」と書いています。
「不正アクセスに使用された入口は閉鎖されたと確信しており、不正にアクセスされたデータの性質を特定するために、当社のシステム全体で状況の詳細な技術的検証を続けています。「この調査には時間がかかりますが、私たちは最大限の緊急性を持って取り組んでいます。この調査が完了するまでは、影響を受けたと報告されている記録の数や他者の発言の妥当性を確認することはできません」。
この侵入は、@und0xxedというアカウントが詳細をつぶやき始めたことで、Twitterで明らかになりました。ダイレクトメッセージで連絡を取ったUnd0xxedは、自分たちはデータベースの盗用には関与しておらず、盗んだT-Mobileの顧客データの買い手を探す仕事をしていたと述べています。
Und0xxed氏によると、ハッカーはT-Mobile社の無線データネットワークに空きを見つけ、T-Mobile社の2つの顧客データセンターにアクセスすることができたという。侵入者はそこから、合計100ギガバイト以上の顧客データベースをダンプすることができた。
これらのデータベースの1つには、1990年代半ばにさかのぼり、米国内のT-Mobile社の顧客3,600万人の氏名、生年月日、SSN、運転免許証情報、平文の暗証番号、住所、電話番号が含まれているとしている。
このデータには、3,600万人分のIMSIおよびIMEIデータも含まれているとのことです。IMSIとIMEIは、顧客のモバイル機器に埋め込まれた固有の番号で、機器とSIMカードを識別し、顧客の機器と電話番号を結びつけるものです。
"もし、私がデータにアクセスできるか/データが本物かどうかを確認したいのであれば、T-Mobileの番号を教えていただければ、私があなたのためにルックアップを実行し、その番号に現在接続されている電話機のIMEIとIMSI、その他の詳細情報をお返しします。" @und0xxed氏はこのように述べています。"T-Mobile USAのプリペイドとポストペイドのすべての顧客が影響を受け、SprintとT-Mobileが所有する他の通信事業者は影響を受けません。"
侵入者がアクセスしたとされる他のデータベースには、顧客の詳細情報がはるかに少ないプリペイドアカウント用のものも含まれています。
"プリペイドのお客様は通常、電話番号とIMEI、IMSIだけです。"とUnd0xxedは述べています。"また、データベースのコレクションには、過去のエントリーが含まれており、多くの電話番号には、長年にわたって10や20のIMEIが付けられており、サービスの日付も提供されています。また、カードの6桁を難読化したクレジットカードの番号を含むデータベースもある。"
T-Mobile社は、同社が同日のブログ記事で述べたこと以上のコメントを拒否した。
2015年、大手3社の信用調査機関Experianのコンピューター侵入により、T-Mobileに融資を申し込んだ1500万人の社会保障番号などのデータが流出しました。
他の携帯電話会社と同様に、T-Mobile社も、自社の従業員を標的としたSIMスワッピング攻撃やその他の手法を用いて、従業員のアカウントを奪い、顧客データへのバックドアアクセスを可能にする詐欺師と常に戦っています。少なくとも1つのケースでは、小売店の従業員がアカウントの乗っ取りに加担していました。
誰がT-Mobileをハッキングしたのか?
Und0xxedというアカウントのTwitterプロフィールには、IRDevやV0rtexなどのハンドルネームを持つ、かなりつかみどころのないハッカーのTwitterアカウントである@IntelSecretsへの呼びかけが含まれています。T-Mobileへの侵入に@IntelSecretsが関与しているかどうかを尋ねられた@und0xxedは、それを確認しました。
IntelSecretsのニックネームは、Mirai「モノのインターネット」ボットネットのソースコードを改変して「Satori」と呼ばれる亜種を作成し、それを犯罪的利益のために使用し、後に捕まって起訴された他者に供給した責任を主張している個人に対応しています。Satoriボットネットの運用について2019年に有罪を認めたKenny "NexusZeta" Schuchmannのように。他にも2人の若者がSatoriに関連して起訴されていますが、IntelSecretsではありません。
IntelSecrets/IRDev/V0rtexについて、なぜこのようなことがわかるのか。本名をジョン・エリン・ビンズと名乗る人物が起こした一連の奇妙な訴訟の中で、その人物はそのことを認めている。このビンズという人物は、intelsecrets[.]suというウェブサイトを運営しています。