T-Mobile violado por el grupo de delitos cibernéticos LAPSUS$ a través de cuentas de empleados comprometidas
T-Mobile ha sufrido otra filtración de datos, esta vez protagonizada por jóvenes hackers que formaban parte del grupo LAPSUS$. T-Mobile afirma que no hubo violación de la información del cliente o datos del gobierno. Sin embargo, LAPSUS$ parece haber obtenido acceso tanto a los repositorios de códigos fuente de T-Mobile como a su sistema de gestión de clientes.
Reportado y visto por Krebs sobre la seguridad (a través de TechCrunch ), los mensajes filtrados entre los miembros del grupo de delitos cibernéticos LAPSUS$ muestran que hackearon con éxito T-Mobile varias veces el mes pasado.
Los piratas informáticos obtuvieron acceso a los sistemas internos de T-Mobile al hacerse cargo de varias cuentas de empleados con compras a través de sitios como "Mercado ruso", ingeniería social y otros métodos para robar información.
Los mensajes revelan que cada vez que se desconectaba LAPSUS$ de la cuenta de un empleado de T-Mobile, ya sea porque el empleado intentaba iniciar sesión o cambiar su contraseña, simplemente buscaba o compraba otro conjunto de credenciales de VPN de T-Mobile. T-Mobile actualmente tiene aproximadamente 75,000 empleados en todo el mundo.
Los chats y capturas de pantalla de LAPSUS$ muestran que piratearon el sistema de administración de clientes Atlas de T-Mobile el 19 de marzo y buscaron "cuentas asociadas con el FBI y el Departamento de Defensa". Pero resultó que LAPSUS$ no tenía las credenciales adicionales para acceder a esa información.
Mientras que algunos de los miembros de LAPSUS$ "querían desesperadamente cambiar la SIM de algunos objetivos ricos por dinero", su líder de 17 años, "White", decidió desechar el acceso VPN al sistema Atlas y pasó a explorar Bitbucket de T-Mobile y Cuentas flojas.
Aproximadamente 12 horas después, "White" compartió capturas de pantalla que mostraban que un script que creó había descargado más de 30,000 repositorios de código fuente de T-Mobile que incluían contenido de una variedad de proyectos del operador.
En respuesta al hackeo de LAPSUS$, T-Mobile compartió la siguiente declaración con Krebs sobre seguridad:
Hace varias semanas, nuestras herramientas de monitoreo identificaron a un malhechor que usó credenciales robadas para obtener acceso a sistemas internos que albergan software para herramientas operativas. No tenemos pruebas de que el intruso haya obtenido información confidencial de clientes, del gobierno o similar. Nuestros sistemas y procesos funcionaron según lo diseñado, la intrusión se apagó y cerró rápidamente, y las credenciales comprometidas utilizadas quedaron obsoletas.
En cuanto a por qué LAPSUS$ decidió centrarse en el código fuente de T-Mobile en lugar de realizar intercambios de SIM maliciosos, Krebs on Security cree que podrían haber estado buscando mayores fallas de seguridad, ya tenían compradores para el código fuente alineados, o era potencialmente solo “una gran competencia de Capturar la Bandera”.
Los miembros más activos de LAPSUS$ fueron detenidos poco después de la violación de T-Mobile.
incrustar youtube