Se la gravità di una violazione cyber si giudica dal numero di persone potenzialmente impattate, quella che ha colpito T-Mobile USA in questi giorni non è certo da sottovalutare. La società ha infatti subito un "data breach" che coinvolge ben 37 milioni di utenti.

Il data breach è basato sull'uso improprio di una API sviluppata per condividere tra sistemi IT di T-Mobile alcuni dati sui clienti della società. T-Mobile non ha dato dettagli su che tipo di API è stata violata, spiega solo che gli attaccanti hanno potuto connettersi ad essa senza necessità di autenticarsi in alcun modo.

Si ritiene che l'esfiltrazione di dati sia iniziata quasi due mesi fa, ma è stata rilevata solo lo scorso 5 gennaio. Dopo meno di un giorno di indagini, si spiega in un documento ufficiale presentato alle autorità USA, il meccanismo di esfiltrazione è stato identificato e bloccato. Non prima però che l'attaccante sottraesse dati su 37 milioni di clienti.

La società spiega che l'API coinvolta non poteva accedere a dati veramente sensibili dei cliienti, come ad esempio password o informazioni sulle carte di credito. Gli attaccanti hanno avuto accesso a quello che T-Mobile definisce "un insieme limitato di dati", insieme che però comprende molte informazioni decisamente utili per, ad esempio, successive azioni di phishing: nome, indirizzo, email, numero di telefono, data di nascita, linee telefoniche attivate, caratteristiche dell'abbonamento attivo.

T-Mobile ha tra l'altro sottolineato che quasi tutte queste informazioni sono "del tipo ampiamente disponibile nei database di marketing", il che comunque non cambia la sostenza dell'evento. C'è stato un data breach le cui conseguenze potrebbero comportare - T-Mobile lo afferma nel documento alle autorità - "spese significative".

A parte il numero di persone coinvolte, che è indubbiamente d'effetto, il caso T-Mobile è significativo perché è l'ennesima testimonianza di come la creazione di infrastrutture applicative complesse possa portare, se mal gestita, a problemi di sicurezza spesso poco evidenti. In questo caso non è chiaro se l'API "abusata" sia stata mal programmata o se l'attaccante abbia potuto sfruttare qualche vulnerabilità specifica. Sta di fatto che la comunicazione di dati tra sistemi T-Mobile non era adeguatamente protetta, segno che qualcosa è sfuggito ai processi di vulnerability assessment che la società ha - o non ha - svolto.