T-Mobile heeft een onderzoek van de Amerikaanse toezichthouder FCC naar vier datalekken, waarbij gevoelige gegevens van miljoenen klanten werden gecompromitteerd, een schikking van ruim 31 miljoen dollar getroffen. Bijna zestien miljoen dollar moet de telecomprovider investeren in het oplossen van 'fundamentele beveiligingsproblemen', zoals het implementeren van moderne architecturen, zoals zero trust, en phishingbestendige multifactorauthenticatie, aldus de FCC (pdf).

Daarnaast moet het bedrijf een civiele boete van bijna zestien miljoen dollar betalen. De in totaal vier datalekken deden zich voor in 2021, 2022 en 2023. Bij het datalek in 2021 wist een aanvaller toegang tot een labomgeving van T-Mobile te krijgen. Om deze toegang te krijgen wist de aanvaller de legitieme verbinding van gebruikte telecomapparatuur te imiteren, zo laat de FCC weten, die geen verdere details geeft (pdf). Vervolgens wist de aanvaller wachtwoorden van verschillende servers te raden en kon zo verdere toegang krijgen.

Eind 2022 lukte het een aanvaller toegang te krijgen tot een beheerplatform dat T-Mobile aan mobile virtual network operators (MVNO's) biedt. Via dit platform kunnen MVNO-resellers diensten aan hun klanten leveren. Bij deze aanval werd gebruikgemaakt van het sim-swappen van een T-Mobile-medewerker en een phishingaanval op een andere medewerker. Daarnaast werd er nog een andere, onbekende methode gebruikt. Bij sim-swapping weten criminelen het telefoonnummer van een slachtoffer over te zetten op een simkaart waarover zij beschikken.

Begin 2023 deed zich het derde datalek voor, waarbij inloggegevens van een T-Mobile-account voor een verkoopapplicatie werden gebruikt. Vanwege de coronacrisis was remote toegang voor deze applicatie ingeschakeld. Het vierde datalek betrof misbruik van een Application Programming Interface (API). Door een menselijke fout met de permissie-instellingen kon een aanvaller via de API allerlei klantgegevens opvragen.

"Gezien het belang en de gevoeligheid van klantgegevens is alleen de beste cybersecuritybescherming goed genoeg", aldus FCC-voorzitter Jessica Rosenworcel, die toevoegt dat de toezichthouder een duidelijke boodschap aan telecomproviders zal blijven geven die met deze gevoelige gegevens zijn toevertrouwd om hun security op te schroeven.