Letzten Sommer, T-Mobile wurde Opfer eines massiven Hacker-Angriffs, der dazu führte, dass die persönlichen Daten von mehr als 54 Millionen Kunden herauskamen. Es war einer der größten Hacking-Jobs in der Geschichte, und die dahinter stehenden Personen sagten, es sei erschreckend einfach gewesen, ihn durchzuziehen.
Der Einbruch hat Namen, Sozialversicherungsnummern (SSNs), Führerscheininformationen und mehr offengelegt. In den Verstoß eingeschlossen waren die Daten von 40 Millionen Kunden, die T-Mobile Guthaben beantragt haben, 13,1 Millionen Inhaber aktiver T-Mobile Postpaid-Konten, 850.000 aktiver T-Mobile Prepaid-Kunden und 667.000 Konten ehemaliger Kunden.
Nicht bei jedem Konto wurde die gleiche Menge an Daten kompromittiert. Zum Beispiel schienen die 40 Millionen Konten, die einen T-Mobile-Kredit beantragt hatten, am stärksten betroffen zu sein, da persönliche Identifikationsdaten in der Verletzung enthalten waren. Zu den Datensätzen von 7,8 Millionen aktiven Kunden gehörten IMEI-und IMSI-Details, die zur Identifizierung von Mobilgeräten und SIM-Karten (und zur Durchführung von SIM-Swapping-Angriffen) verwendet werden können. Weitere 5,3 Millionen Datensätze enthielten keine SSN oder Führerscheinnummern, enthielten aber andere identifizierbare Informationen wie Privatadressen.
Kurz nach dem Angriff versuchte eine Gruppe, einige dieser Informationen im Dark Web zu verkaufen, indem sie Daten von etwa 30 Millionen Kunden für etwa 270.000 US-Dollar in Bitcoin anbot.
Natürlich entschuldigte sich T-Mobile-CEO Mike Sievert vielmals dafür, dass er seine Kunden nicht geschützt hatte, und begann sofort mit einer Untersuchung hinter den Kulissen, um herauszufinden, was schief gelaufen war und was das Unternehmen dagegen tun könnte.
Nun stellt sich heraus, dass T-Mobile im Rahmen dieser „Untersuchung“ auch versucht hat, die Daten von den Hackern zurückzukaufen – und gescheitert ist.
Der Deal
Laut Motherboard , das kürzlich entsiegelte Gerichtsdokumente in die Hände bekommen hat, hat T-Mobile einen Dritten beauftragt, die Hacker zu bezahlen, um „exklusiven Zugriff auf diese Daten zu erhalten und zu verhindern, dass sie weiter verbreitet werden“.
Die Gerichtsdokumente stammen aus die kürzliche Deaktivierung von „RaidForums“ durch das US-Justizministerium – eines der größten Hackerforen der Welt – und die Verhaftung und Anklage gegen seinen Verwalter Diogo Santos Coelho, der (unter anderem) den Namen”Allmächtig”trägt.
Am oder um den 11. August 2021 veröffentlichte eine Person, die den Spitznamen „SubVirt“ verwendete, auf der RaidForums-Website ein Angebot zum Verkauf kürzlich gehackter Daten mit dem folgenden Titel: „SELLING-124M-U-S-A-SSN-DOB-DL-Datenbank-frisch verletzt.“ Dieser Beitrag lieferte eine kleine Stichprobe von Daten, die Namen und Geburtsdaten enthielten, und bezifferte die Informationen mit sechs (6) Bitcoin. Anklage gegen Diogo Santos Coelho
Während die Anklage dies nicht tut Das Opfer der Datenschutzverletzung ausdrücklich zu nennen und es nur als „Unternehmen 3“ zu bezeichnen, ist nicht schwer zwischen den Zeilen zu lesen:
Ein nachfolgender Beitrag bestätigte, dass die gehackten Daten einem großen Telekommunikationsunternehmen gehörten Unternehmen und Mobilfunknetzbetreiber, der Dienste in den Vereinigten Staaten anbietet („Unternehmen 3“). Anklage gegen Diogo Santos Coelho
Der Zeitplan und die Informationen in den Gerichtsakten stimmen so perfekt mit denen vom letzten Sommer überein große Datenpanne bei T-Mobile, dass es kein anderes Unternehmen gibt, auf das sich dies beziehen könnte.
Interessant wird dies jedoch dadurch, dass die Anklageschrift weiter besagt, dass Coelho („Omnipotent“) „SubVirt“ beim Verkauf der Daten an „einen Dritten unterstützt und angestiftet“ hat dann im Auftrag von Unternehmen 3 tätig.“
Die Auszahlung
Dies geschah bei zwei verschiedenen Gelegenheiten. Der Agent von „Company 3“ überwies am 17. August zunächst Bitcoin im Wert von 50.000 USD, um eine Stichprobe der Daten zu erhalten, und dann am 21. August weitere 150.000 USD, um die vollständige Datenbank zu erwerben.
„Am oder um den 22. August 2021 führte COELHO, der den Spitznamen „Omnipotent“ verwendete, seinen Mittelsmanndienst aus und unterstützte „SubVirt“ beim Verkauf vollständiger Datenbanksätze mit vertraulichen und sensiblen Informationen und anderen Daten von Wert, der während eines rechtswidrigen Computereinbruchs erlangt wurde, einschließlich, aber nicht beschränkt auf Kundennamen, Sozialversicherungsnummern, Geburtsdaten, Führerscheinnummern, Telefonnummern, Rechnungskontonummern, Kundenbeziehungsmanagerinformationen, MSISDN-Informationen, IMSI-Nummern und IMEI Nummern an einen Dritten, der dann im Namen von Unternehmen 3 operiert. Der Dritte nutzte den Zwischenhändler von COELHO, um einen Bitcoin-Betrag, der damals ungefähr 150.000 US-Dollar entsprach, an „SubVirt“ zu überweisen.
– Anklage gegen Diogo Santos Coelho
Coelho scheint nicht direkt an der Datenpanne von T-Mobile beteiligt gewesen zu sein. Stattdessen bot er auf der RaidForums-Website einen „Offiziellen Mittelsmann-Service“ an, der den Verkauf solcher „Schmuggeldateien“ erleichtern sollte. Die Anklageschrift listet mindestens drei weitere große Unternehmen auf, bei denen Coelho an der Vermittlung des Verkaufs vertraulicher Daten beteiligt war. Eines wird als „Unternehmen für elektronischen Handel“, ein anderes als „Unternehmen für Online-Steuererklärungen“ und das dritte als „ein großes Rundfunk-und Kabelunternehmen“ beschrieben.
Eine eidesstattliche Erklärung zur Unterstützung des Antrags des Justizministeriums auf Auslieferung von Coelho aus dem Vereinigten Königreich an die U.S. liefert zusätzliche Hintergrundinformationen darüber, was „Unternehmen 3“ (alias T-Mobile) erreichen wollte:
Nach diesem Beitrag beauftragte Unternehmen 3 einen Dritten, exklusiven Zugriff auf die Datenbank zu erwerben, um dies zu verhindern vor dem Verkauf an Kriminelle. Ein Mitarbeiter eines Drittanbieters gab sich dann als potenzieller Käufer aus und nutzte den Mittelsmann-Service von Omnipotent für den Kauf. Kleine Datenbanken für einen Bitcoin-Betrag, der damals ungefähr 50.000 US-Dollar entsprach. Anschließend nutzte ein Mitarbeiter des Drittanbieters erneut den Mittelsmann-Service von Omnipotent, um die gesamte Datenbank für einen Bitcoin-Betrag zu kaufen, der damals etwa 150.000 US-Dollar entsprach. Die Vereinbarung sah vor, dass „SubVirt“ dann ihre Kopie der Datenbank vernichtet; Es scheint jedoch, dass die Mitverschwörer nach dem Kauf durch den Dritten weiterhin versuchten, die Datenbanken zu verkaufen.
– Eidesstattliche Erklärung zur Unterstützung des Auslieferungsersuchens von Diogo Santos Coelho
Wäre der Plan erfolgreich gewesen, hätte T-Mobile diese 30 Millionen Kundendatensätze gegen weitere Offenlegung gesichert. Der „Drittanbieter“, der die Daten für 200.000 US-Dollar gekauft hat, wäre dann der einzige mit einer Kopie der gestohlenen Informationen, die vermutlich entweder zerstört oder zur Analyse an T-Mobile zurückgegeben worden wäre.
Die Gerichtsdokumente nennen weder den Drittanbieter, der die Daten gekauft hat, noch beschreiben sie, um welche Art von Unternehmen es sich handelte. Allerdings in einer Erklärung vom August 2021, CEO von T-Mobile Mike Sievert nannte das Sicherheitsunternehmen Mandiant als Partner bei der weiteren Untersuchung des Vorfalls.
Durch unsere Untersuchung dieses Vorfalls, die von Anfang an von den Weltklasse-Sicherheitsexperten von Mandiant unterstützt wurde, wissen wir jetzt, wie dieser Angreifer illegal Zugang zu unseren Servern erlangt hat, und wir haben sie geschlossen diese Zugangspunkte. Wir sind davon überzeugt, dass durch diese Sicherheitslücke kein dauerhaftes Risiko für Kundendaten besteht.Mike Sievert, CEO von T-Mobile
Motherboard bat sowohl T-Mobile als auch Mandiant um einen Kommentar, aber keiner antwortete zum Zeitpunkt der Drucklegung.
Natürlich gibt es unter Dieben keine Ehre, und vielleicht waren T-Mobile und sein Drittanbieter naiv zu glauben, dass sie das tatsächlich durchziehen könnten, aber es ist wahrscheinlich fair, ihnen dafür ein paar Punkte zu geben versuchen.
