2023年1月19日,美国知名通信运营商T-Mobile发表通告(图二、图三),通报了一起该公司于近期发现的由于系统存在漏洞,导致部分用户的个人资料遭到恶意用户窃取的事件,预计受该事件影响的客户数量大约有3700万名。
可能被泄露的用户数据包括用户的姓名、账单地址、电子邮件、电话号码、出生日期、T-Mobile 账号以及账户等信息。
T-Mobile强调,被泄露的数据内容不包括任何客户支付卡信息 (PCI)、社会安全号码、税号、驾驶执照或其它政府ID号、普通密码和PIN密码等与财务相关的任何敏感信息,用户的这部分数据仍然是安全的,并没有泄露。
因为这两类数据访问采用的是不同的API接口,前一种API遭到了不明身份恶意用户的攻击滥用,从而导致数据泄露,而获取后一类数据的API接口不存在漏洞,并没有被攻击滥用,所以这部分数据并没有被窃取泄露,仍然是安全的。
T-Mobile表示,2023年1月5日,该公司发现有未经授权的恶意用户通过该公司的第一种、存在安全漏洞的应用程序编程接口 (API) 非法获取敏感数据,这种行为是从2022年11月25日前后开始的,至少持续了一个多月。
随后,T-Mobile公司立即向相关执法部门报警,并与第三方网络安全机构展开调查,在24小时内阻止、切断了恶意数据访问,目前没有证据表明该公司的后台系统遭到了严重破坏,预计不会对该公司的正常运营产生重大影响,目前调查仍在继续。
T-Mobile公司表示,从2021年开始该公司启动了一项为期多年的巨额投资,内容是与领先的网络安全机构合作,以增强该公司的网络安全防护能力,目前已经取得了实质性的进展,并强调“保护客户的数据(安全)仍然是重中之重”,将继续在这方面进行投资,持续提升网络安全防护能力。
但是,这些都是T-Mobile公司的一面之词,事实上这些年该公司在网络安全方面多次翻车,类似的事件已经发生了多起,在2018年至2020年三年时间内,该公司通报了四次严重数据泄露事件。
T-Mobile也因此官司缠身,该公司还将于近期支付3.5亿美元,以解决另外一起因为数据泄露事件所引发的集体诉讼赔偿,可谓焦头烂额,按下葫芦起来瓢。
总体来看,T-Mobile不能再头痛医头,脚痛医脚了,必须在网络安全方面进行全面、彻底地改革,彻底地堵住所有的安全漏洞,否则以后会极为被动。