Глава компании T-Mobile и 21-летний житель Турции, который утверждает, что это он стоит за недавним взломом мобильного оператора, поделились данными о том, как была проведена атака.
Предыстория
Напомню, что о масштабной утечке данных стало известно в середине августа, когда на хакерском форуме появилось объявление о продаже личных данных примерно 100 миллионов клиентов компании T-Mobile. Продавец утверждал, что две недели назад он взломал серверы компании (производственные, промежуточные и серверы разработки, в том числе сервер Oracle, содержавший данные клиентов), получив доступ к незащищенному шлюзу T-Mobile GPRS, и похитил данные оттуда.
Весь дамп взломщик оценил в 6 биткоинов (около 280 000 долларов США), заявляя, что в общей сложности база содержит информацию о 100 млн человек, в том числе IMSI, IMEI, номера телефонов, имена, PIN-коды безопасности. Хуже того, еще примерно для 30 млн человек были приведены даты рождения, номера водительских прав и даже номера социального страхования.
Вскоре представители T-Mobile подтвердили, что взлом действительно имел место, но каких-либо подробностей случившегося в компании тогда не предоставили. Чуть позже в компании сообщили, что инцидент действительно затронул миллионы пользователей: в общей сложности были похищены записи, принадлежащие 50 млн человек, включая нынешних, бывших или потенциальных клиентов T-Mobile.
Расследование и взлом
В заявлении, опубликованном в конце прошлой недели, глава компании Майк Сиверт (Mike Sievert), сообщил, что, хотя расследование инцидента практически завершено, он не может поделиться глубокими техническими подробностями случившегося из-за уголовного расследования, которым в настоящее время занимаются правоохранительные органы. Однако некоторые детали Сиверт все же раскрыл.
«Мы можем сообщить, что, упрощенно говоря, злоумышленник использовал знания технических систем, а также специализированные инструменты и тактики, чтобы получить доступ к нашим тестовым средам, а затем использовал брутфорс и другие методы, чтобы проникнуть на другие серверы, содержащие данные клиентов. Одним словом, целью этого человека был взлом и кража данных, и ему это удалось», — пишет Сиверт.
Незадолго до этого заявления компании журналисты издания The Wall Street Journal сообщили, что им удалось выйти на контакт с хакером, который взломал T-Mobile. Ответственность за атаку взял на себя 21-летний Джон Биннс (John Binns), гражданин США, сейчас проживающий в Турции.
В интервью, которое Биннс дал через Telegram, он утверждал, что взломал оператора связи из мести и желания привлечь внимание к проблеме. Дело в том, что еще в прошлом году он подал иск против ЦРУ, ФБР и других правительственных агентств США, заявляя, что его шантажировали, за ним следили и его пытали. Биннс уверяет, что американское правительство подозревает его в управлении ботнетом Satori, а также подозревает, что он является членом запрещенной в России террористической организации Исламское государство (оба обвинения Биннс отрицает).
В беседе с журналистами The Wall Street Journal Биннс пересказал все то, о чем заявлял ранее в своем иске, а также сказал, что правоохранительные органы США ранее похищали его в Германии и Турции, а также против воли помещали в психиатрическую лечебницу. В ответ хакер решил «нанести ущерб инфраструктуре США».
«У меня нет причин придумывать фальшивую историю о похищении, и надеюсь, кто-нибудь из ФБР сольет информацию об этом», — говорит Биннс.
Также Биннс рассказал, что взломать T-Mobile ему удалось через неправильно настроенный роутер, который он обнаружил еще в июле. Он говорит, что нашел роутер с помощью простого общедоступного инструмента, и некоторые предполагают, что речь идет о Shodan, Nmap или Masscan.
Якобы этот маршрутизатор обеспечил Биннсу точку входа на серверы T-Mobile, расположенные в центре обработки данных в штате Вашингтон, а откуда он сумел развить атаку далее, получив учетные данные, которые дали ему доступ более чем к 100 серверам компании. Биннс охарактеризовал безопасность T-Mobile как «ужасную», заявил, что ему потребовалось около недели, чтобы добраться до серверов, на которых хранятся данные клиентов, и взломать их.
«Я был в панике, потому мне удалось получить доступ к чему-то важному. Их безопасность ужасна. Наделать побольше шума было одной из моих целей», — рассказывал Биннс.
Хакер не сообщил, один ли он работал над этой атакой, он признался, что ему понадобилась некая помощь в получении учетных данных для входа в БД в системах T-Mobile. По данным СМИ, Биннс был не единственным, кто в итоге получил и пытается продать информацию о клиентах T-Mobile. При этом Биннс заявлял, что у него уже есть несколько потенциальных покупателей.
