Die Hackergruppe Lapsus$ hat ein weiteres Opfer gefordert: den US-Telekommunikationsriesen T-Mobile.
Der jüngste Sicherheitsvorfall von T-Mobile – die siebte Datenschutzverletzung in den letzten vier Jahren – war zuerst aufgedeckt vom Sicherheitsjournalisten Brian Krebs, der eine Woche lang private Chat-Nachrichten zwischen den Kernmitgliedern von Lapsus$ erhielt, einer Hacker- und Erpressungsgruppe, die in den letzten Monaten an Bekanntheit gewann, nachdem sie die Technologiegiganten Nvidia, Ubisoft und Okta ins Visier genommen hatte. Die von Krebs erhaltenen Nachrichten wurden in der Woche vor der Verhaftung der aktivsten Mitglieder der Bande im März über einen privaten Telegrammkanal gesendet. Mindestens zwei Lapsus$-Mitglieder – ein 16-jähriger und ein 17-jähriger – wurden anschließend wegen mehrerer Cyber-Straftaten angeklagt.
Die Nachrichten zeigen, dass Lapsus$ Zugriff auf das Netzwerk von T-Mobile hatte, indem es Mitarbeiterkonten kompromittiert hat, entweder durch den Kauf von durchgesickerten Zugangsdaten oder durch Social Engineering. Dies verschaffte Lapsus$ Zugriff auf die internen Tools von T-Mobile, einschließlich Atlas, die zur Verwaltung von Kundenkonten verwendet wurden, die die Hacker verwendeten, um T-Mobile-Konten zu finden, die mit dem FBI und dem Verteidigungsministerium in Verbindung stehen, aber bei Bedarf blockiert wurden zusätzliche Kontrollen.
Durch diesen Zugriff auf das Mitarbeiterkonto waren die Hacker in der Lage, SIM-Swap-Angriffe durchzuführen, bei denen Hacker die Mobiltelefonnummer eines Ziels einem Gerät unter ihrer Kontrolle zuweisen, das dann das Abfangen von Telefonanrufen und Textnachrichten ermöglicht verwendet, um weiter in die Konten eines Opfers einzubrechen und auch Zwei-Faktor-Authentifizierungscodes zu erhalten.
T-Mobile antwortete nicht auf mehrere Anfragen nach Kommentaren, teilte den Nachrichtenagenturen jedoch mit, dass während des Vorfalls „keine Kunden- oder Regierungsinformationen“ abgerufen wurden.
Krebs berichtet jedoch, dass die Hacker Quellcode für eine Reihe von Unternehmensprojekten stehlen konnten – genau wie die Gruppe es mit Samsung, Microsoft und Globant getan hatte.
„Vor einigen Wochen haben unsere Überwachungstools einen Angreifer entdeckt, der gestohlene Zugangsdaten verwendet hat, um auf interne Systeme zuzugreifen, die Betriebssoftware enthalten“, heißt es in der Erklärung des Unternehmens. „Unsere Systeme und Prozesse funktionierten wie geplant, das Eindringen wurde schnell abgeschaltet und abgewehrt, und die verwendeten kompromittierten Zugangsdaten wurden hinfällig.“
T-Mobile hat sechs weitere frühere Datenschutzverletzungen seit 2018 bestätigt. Im vergangenen August gab der Telekommunikationsriese zu, dass Kontodaten von mindestens 47 Millionen Kunden als massive Datenverletzung gestohlen wurden. Hacker griffen auf persönliche Daten von 7,8 Millionen aktuellen Postpaid-Kunden zu, darunter Geburtsdaten und Sozialversicherungsdaten, und Hacker griffen auch auf die Aufzeichnungen von 40 Millionen ehemaligen und potenziellen Kunden zu.