A nova violação de dados da T-Mobile mostra que seu investimento de US $ 150 milhões em segurança não é suficiente

Ontem, gigante móvel A T-Mobile disse que sofreu uma violação de dados a partir de 26 de novembro que afeta 37 milhões de clientes atuais em contas pré-pagas e pós-pagas. A empresa disse em um documento da Comissão de Valores Mobiliários dos Estados Unidos que um “mau ator” manipulou uma das interfaces de programação de aplicativos (APIs) da empresa para roubar nomes de clientes, endereços de e-mail, números de telefone, endereços de cobrança, datas de nascimento, números de contas, e detalhes do plano de serviço. A invasão inicial ocorreu no final de novembro e a T-Mobile descobriu a atividade em 5 de janeiro.

A T-Mobile é uma das maiores operadoras de telefonia móvel dos EUA e estima-se que tenha mais de 100 milhões de clientes. Mas nos últimos 10 anos, a empresa desenvolveu uma reputação de sofrer repetidas violações de dados junto com outros incidentes de segurança. A empresa teve uma mega violação em 2021, duas violações em 2020, uma em 2019 e outra em 2018. A maioria das grandes empresas luta com segurança digital e ninguém está imune a violações de dados, mas a T-Mobile parece estar abordando empresas como Yahoo no panteão de compromissos repetidos.

“Estou certamente desapontado ao saber que, depois de tantas violações, eles ainda não conseguiram escorar seu navio furado”, diz Chester Wisniewski, diretor técnico de campo de pesquisa aplicada da empresa de segurança. Sophos. “Também é preocupante que os criminosos estivessem no sistema da T-Mobile por mais de um mês antes de serem descobertos. Isso sugere que as defesas da T-Mobile não utilizam equipes modernas de monitoramento de segurança e caça a ameaças, como você pode esperar encontrar em uma grande empresa como uma operadora de rede móvel.”

Devido aos limites da API (uma interface que facilita a comunicação entre dois programas de software), o invasor não obteve acesso a números de CPF ou CPF, dados de carteira de motorista, senhas e PINs ou informações financeiras, como dados de cartão de pagamento. Esses dados foram comprometidos em outras violações recentes da T-Mobile, incluindo uma em agosto de 2021. Em julho de 2022, a T-Mobile concordou em resolver uma ação coletiva sobre essa violação em um acordo que incluiu $ 350 milhões para clientes. Na época, a empresa também se comprometeu com uma iniciativa de dois anos e US$ 150 milhões para melhorar sua segurança digital e defesas de dados.

A T-Mobile, que não respondeu a vários pedidos de comentários da WIRED, escreveu em sua divulgação à SEC que em 2021, “Iniciamos um investimento substancial de vários anos trabalhando com os principais especialistas externos em segurança cibernética para aprimorar nossos recursos de segurança cibernética e transformar nossa abordagem para cíber segurança. Fizemos progressos substanciais até o momento e a proteção dos dados de nossos clientes continua sendo uma prioridade.”

Claramente não foi o suficiente, dado o recente incidente, que expôs dados de aproximadamente um terço dos clientes da empresa nos Estados Unidos.

“Quantos desses a T-Mobile precisa ter?” perguntou Jake Williams, um respondente de incidentes de longa data e analista do Institute for Applied Network Security. “A segurança da API está apenas começando a ser algo em que as pessoas estão realmente focando, o que foi um erro. Detectar abuso de API não é fácil, especialmente se o agente da ameaça estiver se movendo lentamente. Eu suspeito que há um grande número deles em geral que simplesmente não são detectados. Mas o ponto principal é que a segurança da API da T-Mobile claramente precisa funcionar. Você não deveria ter abuso de API em massa por mais de seis semanas.”