СМИ обнаружили, что после прошлогоднего взлома компания T-Mobile наняла стороннюю фирму, которая втайне приобрела у хакеров эксклюзивный доступ к похищенным данным. Хотя остановить утечку это все равно не помогло.
Напомню, что инцидент произошел в августе 2021 года: тогда хакерском форуме появилось объявление о продаже личных данных примерно 100 миллионов клиентов T-Mobile. Продавец утверждал, что он взломал серверы компании (производственные, промежуточные и серверы разработки, в том числе сервер Oracle, содержавший данные клиентов), получив доступ к незащищенному шлюзу T-Mobile GPRS, и похитил данные оттуда.
Весь дамп взломщик оценивал в 6 биткоинов (на тот момент около 280 000 долларов США), заявляя, что в общей сложности база содержит информацию о 100 млн человек, в том числе IMSI, IMEI, номера телефонов, имена, PIN-коды безопасности. Еще примерно для 30 млн человек были приведены даты рождения, номера водительских прав и даже номера социального страхования.
Вскоре представители T-Mobile подтвердили, что взлом действительно имел место, но каких-либо подробностей случившегося в компании тогда не предоставили. Чуть позже в компании сообщили, что инцидент действительно затронул миллионы пользователей: в общей сложности были похищены записи, принадлежащие 50 млн человек, включая нынешних, бывших или потенциальных клиентов T-Mobile.
Как теперь сообщает издание Vice Motherboard, в 2021 году для урегулирования проблемы представители T-Mobile наняли некую стороннюю фирму, которая в итоге заплатила преступникам около 200 000 долларов, стремясь остановить утечку.
Новые подробности стали известны после ликвидации хакерского ресурса RaidForums, закрытого ранее на этой неделе. Среди судебных документов, связанных с этим делом, журналисты обнаружили интересную информацию.
«Приблизительно 11 августа 2021 года лицо, использующее псевдоним SubVirt, разместило на сайте RaidForums объявление о продаже недавно украденных данных со следующим заголовком: “SELLING-124M-U-S-A-SSN-DOB-DL-database-freshly-breached”, — гласят судебные бумаги. — Позже Subvirt изменил название темы на “SELLING 30M SSN + DL + DOB database"».
Хотя в документах не раскрывается название компании-жертвы, и вместо этого она фигурирует в деле как «Компания 3», правоохранители пишут, что данные принадлежали «крупной телекоммуникационной компании и оператору беспроводной связи, предоставляющему услуги в Соединенных Штатах».
Далее в документах сообщается, что эта пострадавшая компания «привлекла третью сторону для покупки эксклюзивного доступа к базе данных, чтобы предотвратить ее продажу преступникам». Сотрудник этой сторонней фирмы представился потенциальным покупателем и воспользовался услугой посредничества администраторов RaidForums, чтобы приобрести образец данных за 50 000 долларов в биткоинах. Затем он и вовсе приобрел весь дамп примерно за 150 000 долларов США с условием, что SubVirt удалит свою копию дампа и покупка будет эксклюзивной.
Несмотря на выдвинутые условия, чуда не произошло, и судебные документы сообщают, что преступники «продолжили попытки продать базу данных даже после ее покупки третьей стороной»
Хотя в бумагах не сказано, какая компания выступала «третьей стороной» и купила у хакеров дамп, в официальном заявлении, опубликованном в августе прошлого года, глава T-Mobile Майк Зиверт писал: «Благодаря расследованию инцидента, которое с самого начала проводилось при поддержке экспертов по безопасности мирового класса из компании Mandiant, теперь мы знаем, как именно хакеры получили доступ к нашим серверам, и мы закрыли эти точки входа».
Хотя представители Mandiant не ответили на запросы журналистов, в редакции Vice Motherboard предполагают, что именно Mandiant была неназванной «третьей стороной» и безуспешно пыталась остановить распространение данных, заплатив преступникам 200 000 долларов США.
