Hlavní navigace

T-Mobile v USA řeší obří únik dat, útočníci získali údaje o desítkách milionů zákazníků

Sdílet

David Slížek 18. 8. 2021
T-Mobile USA - ilustrační foto Autor: T-Mobile USA

Americký T-Mobile potvrdil, že se neznámým útočníkům podařilo z interních systémů firmy získat osobní údaje desítek milionů zákazníků. Podle předběžných výsledků šetření unikla data o 7,8 milionech současných smluvních (post-paid) klientech a o asi 40 milionech bývalých či potenciálních klientech.

Uniklá data mají u části klientů zahrnovat jména, data narození, čísla sociálního zabezpečení (Social Security Number, SSN) a čísla řidičských nebo jiných identifikačních průkazů.

U nejméně 850 tisíc současných zákazníků předplacených (pre-paid) služeb také unikla jména, telefonní čísla a PINy k jejich účtům. Operátor proto jejich PINy resetoval.

Podle T-Mobilu zatím nejsou důkazy o tom, že by se útočníci dostali také informacím o platebních kartách a dalším finančním datům uživatelů.

O úniku informoval o víkendu časopis Vice. Někdo podle něj na internetových fórech nabízel k prodeji za 6 bitcoinů dataset s údaji o celkem 30 milionech zákazníků amerického T-Mobilu. 

Jakým způsobem se útočníci k datům dostali zatím není jasné. Operátor píše o „vysoce sofistikovaném kybernetickém útoku“, podrobnosti ale zatím nezveřejnil. Podle svého prohlášení už ale útočníkům zamezil v přístupu do svých systémů.

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 18. 8. 2021 17:22

    bez přezdívky

    Dříve mi byly k smíchu různé paranoidní obavy lidí, kteří nechtějí mít ani své jméno na průkazu nebo se někam registrovat. Jak podobných úniků dat přibývá, už mi to tolik k smíchu není a jsem rád, že existuje aspoň GDPR.

  • 19. 8. 2021 8:29

    bez přezdívky

    Jméno a adresu chtějí do faktury. Ta ale dává smysl až v případě nákupu nad (snad, nepamatuji si to přesně) 20k Kč. Tedy pod tuto částku by vás toho mohli ušetřit a chtít po vás pouze nějaký identifikátor, podle kterého vyhledají vaši objednávku na místě (nebo vám sdělit přidělený identifkátor).

    E-mail nebo Telefon teoreticky potřebují, aby vás mohli informovat o tom, že zboží je na pobočce připraveno nebo, že zboží je nedostupné, že museli udělat nějakou změnu v objednávce apod. (nicméně nepotřebují oboje a teoreticky, pokud s tím nesouhlasíte, mohli by se obejít bez toho s tím, že až dorazíte na tu pobočku, tak vám to vysvětlí na místě).

    Toto je určitá lenost/nesyste­matyčnost ÚOOÚ, který se tím víceméně nezabývá a dává tomu čas. Oni nemohli od startu šlepat na každý z těch 20k eshopů a všem dávat pokuty, ona ta úprava toho rozhranní e-shopu není otázka pár korun ani několik dní.

    Zpravidla většina organizací promítá opatření GDPR do svých systémů postupně, v rámci různých obměn a úprav, které postupně přicházejí na řadu a vyžadují třeba i změnu většiho množství návazných systémů apod. Znám poměrně dost společností, které teprve dojiždí druhou vlnu GDPR opatření (takové ty změny v interních systémech apod.) a ještě dost možná nikdy nebudou plně v souladu, protože v historii GDPR nebylo a legacy systémy už nikdo nechce (neumí/nevyplatí se to) upravovat.

    Na druhou stranu některé z těchto výše zmíněných osobních údajů jsou i veřejně dostupné, a tak nevidím moc smysl je před e-shopem tajit. Útočníci na to, aby je získali nemusí hackovat daný e-shop, stačí jim použít strejdu Googla.

    19. 8. 2021, 08:31 editováno autorem komentáře

  • 19. 8. 2021 8:05

    bez přezdívky

    Toto mne pobavilo:
    "Podle T-Mobilu zatím nejsou důkazy o tom, že by se útočníci dostali také informacím o platebních kartách a dalším finančním datům uživatelů."

    Pokud by se ten únik týkal mne, už bych měnil kartu :), protože nikdo nepíše o důkazu, že se útočníci k údajům nedostali.

  • 19. 8. 2021 20:18

    RRŠ

    GDPR je IMHO ukázka toho, jak by se to (chránění osobních údajů) nemělo dělat. Místo stanovení jednoduchých, jasných a snadno dodržovatelných pravidel vznikla soustava nečitetných, těžko pochopitelných, složitáých zákonů, s přísnými sankcemi i za drobné prohřešky. Je to nepraktické a dodržování vede k absurditám, kdy se stát bojí propojit své databáze a nutí občany přenášet údaje "od úřadu k úřadu", na druhé straně se řeší, zda na občance smí být uvedeno pohlaví, jak vykopat datum narození z rodného čísla - a nakonec tu občanku (i s bydlištěm) potřebujete ukázat při podpisu kdejaké smlouvy, často i s jejím okopírováním. A pak někdo ukradne databázi telefonního operátora... - a výsledkem bude jen pokuta za nedodržení GDPR, nejspíš aby se nasytila i státní kasa.