El gigante de las telecomunicaciones T-Mobile ha revelado que ha sido víctima de una nueva violación de datos.
Un actor de amenazas utilizó una de sus interfaces de programación de aplicaciones (API) en noviembre del año pasado para hacerse con datos personales de 37 millones de clientes pospago y prepago, según las estimaciones preliminares. Esto supone que podría descubrirse un número mayor más adelante.
La telco encontró actividad maliciosa el pasado 5 de enero, así que el atacante habría estado extrayendo datos a su antojo durante dos meses. El 6 de enero, un día después de descubrir el problema, T-Mobile cortó el acceso del infractor a su API.
"La API involucrada solo puede proporcionar un conjunto limitado de datos de la cuenta del cliente, incluyendo el nombre, la dirección de facturación, el correo electrónico, el número de teléfono, la fecha de nacimiento, el número de cuenta de T-Mobile e información como la cantidad de líneas en la cuenta y el plan contratado", explica la empresa.
La compañía también afirma que su herramienta no facilitó a los ciberdelincuentes información sobre números de seguro social, números de identificación fiscal, contraseñas, PIN, información de tarjetas de pago (PCI) ni otra información de cuentas financieras de los clientes.
T-Mobile está trabajando con la policía para investigar el incidente. Por ahora parece que no hay evidencias claras de que el atacante comprometiera también los sistemas o la red empresarial. Las agencias federales estadounidenses también han sido informadas, así como los clientes afectados.
Ocho ciberataques desde 2018
Desafortunadamente para T-Mobile y sus clientes no es la primera vez que esto ocurre. El medio especializado en ciberseguridad y brechas de datos BleepingComputer contabiliza ocho incidentes desde 2018.
En agosto de 2021 la operadora sufrió un robo de datos que afectó a 100 millones de usuarios de la compañía. Esto llevó a que la empresa acordara el pago de 350 millones de dólares como compensación.
Una violación más reciente fue la que sucedió en abril del año pasado, cuando el grupo Lapsus$ accedió a la red de T-Mobile sirviéndose de credenciales robadas.