T-Mobile violata dal gruppo criminale informatico LAPSUS$ attraverso account dipendenti compromessi
T-Mobile ha subito un'altra violazione dei dati, questa volta perpetrata da giovani hacker che facevano parte del gruppo LAPSUS$. T-Mobile afferma che non vi è stata alcuna violazione delle informazioni sui clienti o dei dati del governo. Tuttavia, LAPSUS$ sembra aver ottenuto l'accesso sia ai repository dei codici sorgente di T-Mobile che al suo sistema di gestione dei clienti.
Segnalato e visto da Krebs sulla sicurezza (attraverso TechCrunch ), i messaggi trapelati tra i membri del gruppo di criminalità informatica LAPSUS$ mostrano che sono stati hackerati con successo in T-Mobile più volte il mese scorso.
Gli hacker hanno ottenuto l'accesso ai sistemi interni di T-Mobile rilevando più account dei dipendenti con acquisti tramite siti come "mercato russo", ingegneria sociale e altri metodi per rubare le informazioni.
I messaggi rivelano che ogni volta che LAPSUS$ veniva tagliato dall'account di un dipendente di T-Mobile, o perché il dipendente ha tentato di accedere o di modificare la propria password, avrebbe semplicemente trovato o acquistato un altro set di credenziali T-Mobile VPN. T-Mobile ha attualmente circa 75.000 dipendenti in tutto il mondo.
Le chat e gli screenshot di LAPSUS$ mostrano che il 19 marzo sono entrati nel sistema di gestione dei clienti Atlas di T-Mobile e hanno cercato "account associati all'FBI e al Dipartimento della Difesa". Ma come si è scoperto, LAPSUS$ non aveva le credenziali aggiuntive per accedere a tali informazioni.
Mentre alcuni membri di LAPSUS$ "volevano disperatamente SIM scambiare alcuni ricchi obiettivi con denaro", il loro leader di 17 anni "White" ha deciso di buttare via l'accesso VPN al sistema Atlas e si è concentrato sull'esplorazione di Bitbucket di T-Mobile e Conti deboli.
Circa 12 ore dopo, "White" ha condiviso schermate che mostravano che uno script da lui creato aveva scaricato oltre 30.000 repository di codice sorgente di T-Mobile che includevano contenuti su una varietà di progetti del vettore.
In risposta all'hacking di LAPSUS$, T-Mobile ha condiviso la seguente dichiarazione a Krebs sulla sicurezza:
Diverse settimane fa i nostri strumenti di monitoraggio hanno identificato un malintenzionato che ha utilizzato le credenziali rubate per accedere ai sistemi interni che ospitano software per strumenti operativi. Non abbiamo prove che l'intruso abbia ottenuto informazioni sensibili su clienti, governo o simili. I nostri sistemi e processi hanno funzionato come previsto, l'intrusione è stata rapidamente interrotta e chiusa e le credenziali compromesse utilizzate sono state rese obsolete.
Per quanto riguarda il motivo per cui LAPSUS$ ha deciso di concentrarsi sul codice sorgente di T-Mobile invece di effettuare scambi di SIM dannosi, Krebs on Security pensa che avrebbero potuto cercare maggiori falle di sicurezza, che avevano già acquirenti per il codice sorgente in fila, o potenzialmente era solo "un grande concorso Cattura la bandiera."
I membri più attivi di LAPSUS$ sono stati arrestati poco dopo la violazione di T-Mobile.
youtube incorporare
Fonte: 9to5mac.com