Setelah mengalami pelanggaran data terbesar kedua pada bulan Januari, berdampak pada lebih dari 37 juta orang, T-Mobile baru-baru ini mengungkap pelanggaran data lainnya. Dan meskipun kali ini, pelanggarannya tidak ekstensif dan hanya berdampak pada lebih dari 800 orang, pelaku ancaman berhasil mendapatkan sejumlah besar informasi pengguna.
Menurut Bleeping Computer, pelanggaran, yang terjadi antara 24 Februari dan 30 Maret, nama pengguna yang disusupi, informasi kontak, nomor rekening, nomor telepon, PIN akun, nomor jaminan sosial, ID pemerintah, tanggal lahir, saldo jatuh tempo, kode internal, dan jumlah baris. Meskipun T-Mobile mengklaim bahwa peretas tidak mendapatkan akses ke catatan panggilan atau informasi akun keuangan pribadi, jumlah data yang terbuka ini memberikan informasi yang cukup kepada penjahat dunia maya untuk melakukan pencurian identitas dan bentuk penipuan lainnya.
“Pada bulan Maret 2023, tindakan yang kami lakukan untuk memperingatkan kami tentang aktivitas tidak sah berfungsi seperti yang dirancang, dan kami dapat menentukan bahwa aktor jahat memperoleh akses ke informasi terbatas dari sejumlah kecil akun T-Mobile antara akhir Februari dan Maret 2023, ” kata T-Mobile.
Tanggapan T-Mobile
T-Mobile mengatakan bahwa setelah pertama kali mendeteksi pelanggaran data, mereka dengan cepat dapat menguranginya dengan menyetel ulang PIN akun untuk pengguna yang terpengaruh. Selain itu, perusahaan juga menawarkan pemantauan kredit gratis selama dua tahun dan layanan deteksi pencurian identitas melalui Transunion myTrueIdentity.
“Kami memberi tahu sejumlah kecil pelanggan bahwa sistem dan proses kami berfungsi untuk mendeteksi dan menghentikan aktor jahat yang mengakses akun menggunakan kredensial yang disusupi,” kata T-Mobile dalam sebuah pernyataan kepada CNET.
Pelanggaran data terbaru ini sekali lagi menyoroti semakin pentingnya penerapan langkah-langkah keamanan yang ketat untuk mencegah serangan dunia maya. Sementara, di satu sisi, perusahaan harus menerapkan kebijakan keamanan yang ketat, memberikan pelatihan karyawan yang berkelanjutan, dan melakukan audit keamanan rutin, pengguna, di sisi lain, harus memperbarui PIN dan kata sandi mereka secara teratur, mengaktifkan 2FA, dan menahan diri untuk tidak membagikan informasi sensitif secara online.