API به خطر افتاده منجر به سرقت اطلاعات 37 میلیون مشتری T-Mobile شد

یک هکر از یک رابط برنامه نویسی کاربردی (API) استفاده کرد تا اطلاعات شخصی 37 میلیون مشتری را طی دو ماه، بدون شناسایی، از شرکت مخابراتی آمریکایی T-Mobile به سرقت ببرد.

تصدیق این اپراتور در بایگانی در روز پنجشنبه در کمیسیون بورس و اوراق بهادار ایالات متحده، شش ماه پس از آن صورت می گیرد که این شرکت با رسیدگی به دعوای دسته جمعی در مورد نقض اطلاعات در سال 2021 که شامل اطلاعات شخصی بیش از 76 میلیون مشتری بود، موافقت کرد. یک مهاجم به محیط‌های آزمایشی حامل دسترسی پیدا کرد، سپس از حملات brute force و روش‌های دیگر برای ورود به سایر سرورهای فناوری اطلاعات که شامل داده‌های مشتری بود، استفاده کرد.

T-Mobile گفت در نتیجه آن هک سال 2021، یک سرمایه گذاری قابل توجه چند ساله را با کارشناسان برجسته امنیت سایبری خارجی آغاز کرد تا قابلیت های امنیت سایبری ما را افزایش دهد و رویکرد ما به امنیت سایبری را تغییر دهد. ما تا به امروز پیشرفت قابل توجهی داشته‌ایم و حفاظت از داده‌های مشتریانمان اولویت اصلی است. ما به سرمایه گذاری های قابل توجه برای تقویت برنامه امنیت سایبری خود ادامه خواهیم داد.”

T-Mobile در پرونده نظارتی خود گفت که در ژانویه. 5 در توافقی که در نوامبر آغاز شد، کشف کرد که “یک بازیگر بد از طریق یک رابط برنامه‌نویسی برنامه‌نویسی داده‌ها را به دست می‌آورد”. 25، 2022.

توضیح نمی دهد که چگونه از API مورد سوء استفاده قرار گرفته است.

ما بلافاصله تحقیقاتی را با کارشناسان امنیت سایبری خارجی آغاز کردیم و ظرف یک روز پس از اطلاع از فعالیت مخرب، توانستیم منبع فعالیت مخرب را ردیابی کرده و آن را متوقف کنیم. تحقیقات ما هنوز ادامه دارد، اما به نظر می‌رسد که فعالیت مخرب در این زمان کاملاً مهار شده است و در حال حاضر هیچ مدرکی مبنی بر اینکه بازیگر بد توانسته است سیستم‌ها یا شبکه ما را نقض کند یا به خطر بیاندازد، وجود ندارد.

«سیستم‌ها و خط‌مشی‌های ما از دسترسی به حساس‌ترین انواع اطلاعات مشتریان جلوگیری می‌کند و در نتیجه، بر اساس تحقیقات ما تا به امروز، حساب‌های مشتریان و امور مالی مستقیماً توسط این رویداد در معرض خطر قرار نگرفتند. API مورد سوء استفاده بازیگر بد امکان دسترسی به اطلاعات کارت پرداخت مشتری (PCI)، شماره‌های تامین اجتماعی/شناسه‌های مالیاتی، گواهینامه رانندگی یا سایر شماره‌های شناسه دولتی، گذرواژه‌ها/PIN یا سایر اطلاعات حساب مالی را فراهم نمی‌کند، بنابراین هیچ یک از این اطلاعات وجود ندارد. افشا شد. در عوض، API تحت تأثیر تنها می‌تواند مجموعه محدودی از داده‌های حساب مشتری، از جمله نام، آدرس صورت‌حساب، ایمیل، شماره تلفن، تاریخ تولد، شماره حساب T-Mobile و اطلاعاتی مانند تعداد خطوط روی حساب و ویژگی های طرح.”

یک API به یک محصول یا خدمات اجازه می دهد با محصولات و خدمات دیگر ارتباط برقرار کند، اما همانطور که Red Hat اشاره می کند، آنها همچنین به سازمان ها اجازه می دهند داده ها را با مشتریان و سایر کاربران خارجی به اشتراک بگذارند. آی‌بی‌ام اشاره می‌کند که یک API به کاربران اجازه می‌دهد با استفاده از اعتبار گوگل یا توییتر وارد چندین سایت شوند و به سایت‌های رزرو سفر برای جمع‌آوری هزاران پرواز. با این حال، شبکه F5 می نویسد که API ها باید از طریق احراز هویت قوی از حملات تزریقی، اسکریپت نویسی متقابل سایت، انسان در وسط و سایر حملات ایمن شوند.

ایلیا کولوچنکو، بنیانگذار ImmuniWeb و یکی از اعضای شبکه کارشناسان حفاظت از داده های یوروپل، گفت که API های محافظت نشده به سرعت در حال تبدیل شدن به یکی از منابع اصلی نقض فاجعه بار داده ها هستند. “این وضعیت توسط IT سایه تشدید شده است که اکنون نه تنها APIها و سرویس های وب فراموش شده، رها شده یا غیرمستند را در بر می گیرد، بلکه طیف کاملی از APIهای تصادفی در معرض دید از محیط های آزمایشی و پیش تولیدی را نیز در بر می گیرد که ممکن است توسط اشخاص ثالث متعدد میزبان یا مدیریت شوند. که دسترسی ممتاز به داده های حساس شرکتی دارند.”

با توجه به اینکه نفوذ 37 میلیون رکورد مشتری توسط سیستم تشخیص ناهنجاری شناسایی و مسدود نشده است، او مشکوک است که API نقض شده متعلق به دارایی های سایه ناشناخته و در نتیجه محافظت نشده باشد.

وی افزود در حالی که اطلاعات مالی مشتریان گزارش شده امن است، اما آنچه هکر به دست آورده می تواند توسط مجرمان سایبری برای حملات پیچیده فیشینگ نیزه ای استفاده شود.

او همچنین گفت: «با توجه به حوادث امنیتی قبلی مربوط به T-Mobile، عواقب قانونی این نقض داده‌ها ممکن است بسیار سخت باشد – دادگاه‌ها و تنظیم‌کننده‌ها در هنگام بررسی تحریم‌های پولی و سایر تحریم‌های موجود، بعید به نظر می‌رسند که ملایم باشند.»