Sicurezza delle API: presi a T-Mobile i dati di 37 milioni di clienti

Una API non proprio blindata si fa sottrarre i dati di 37 milioni di account in un data breach andato avanti per quasi due mesi

Sicurezza

Se la gravità di una violazione cyber si giudica dal numero di persone potenzialmente impattate, quella che ha colpito T-Mobile USA in questi giorni non è certo da sottovalutare. La società ha infatti subito un "data breach" che coinvolge ben 37 milioni di utenti.

Il data breach è basato sull'uso improprio di una API sviluppata per condividere tra sistemi IT di T-Mobile alcuni dati sui clienti della società. T-Mobile non ha dato dettagli su che tipo di API è stata violata, spiega solo che gli attaccanti hanno potuto connettersi ad essa senza necessità di autenticarsi in alcun modo.

Si ritiene che l'esfiltrazione di dati sia iniziata quasi due mesi fa, ma è stata rilevata solo lo scorso 5 gennaio. Dopo meno di un giorno di indagini, si spiega in un documento ufficiale presentato alle autorità USA, il meccanismo di esfiltrazione è stato identificato e bloccato. Non prima però che l'attaccante sottraesse dati su 37 milioni di clienti.

La società spiega che l'API coinvolta non poteva accedere a dati veramente sensibili dei cliienti, come ad esempio password o informazioni sulle carte di credito. Gli attaccanti hanno avuto accesso a quello che T-Mobile definisce "un insieme limitato di dati", insieme che però comprende molte informazioni decisamente utili per, ad esempio, successive azioni di phishing: nome, indirizzo, email, numero di telefono, data di nascita, linee telefoniche attivate, caratteristiche dell'abbonamento attivo.

T-Mobile ha tra l'altro sottolineato che quasi tutte queste informazioni sono "del tipo ampiamente disponibile nei database di marketing", il che comunque non cambia la sostenza dell'evento. C'è stato un data breach le cui conseguenze potrebbero comportare - T-Mobile lo afferma nel documento alle autorità - "spese significative".

A parte il numero di persone coinvolte, che è indubbiamente d'effetto, il caso T-Mobile è significativo perché è l'ennesima testimonianza di come la creazione di infrastrutture applicative complesse possa portare, se mal gestita, a problemi di sicurezza spesso poco evidenti. In questo caso non è chiaro se l'API "abusata" sia stata mal programmata o se l'attaccante abbia potuto sfruttare qualche vulnerabilità specifica. Sta di fatto che la comunicazione di dati tra sistemi T-Mobile non era adeguatamente protetta, segno che qualcosa è sfuggito ai processi di vulnerability assessment che la società ha - o non ha - svolto.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di ImpresaCity.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Speciale

Red Hat Summit Connect e Open Source Day

Download

La nuova cyber security: cosa ne pensano i CISO italiani

Speciale

Internet of Things in Italia: Sviluppo e Novità

Monografia

La sostenibilità al centro

Speciale

Software Enterprise

Calendario Tutto

Feb 16
Commvault Connections on the Road | Milano
Mar 22
IDC Future of Work
Giu 08
MSP DAY 2023 - 8/9 Giugno

Magazine Tutti i numeri

ImpresaCity Magazine


Leggi il Magazine

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter