T-Mobile investiga una violación masiva de datos de clientes

Los atacantes, dicen haber pirateado los servidores de la operadora y robado bases de datos que contienen los datos personales de más de 100 millones de clientes.

La exposición de datos personales sea por recopilación más o menos transparente de la inmensidad de servicios de Internet o sea por ciberataques, está a la orden del día. Los primeros se venden a otras compañías y los segundos se suelen vender en foros de la web oscura.

La supuesta violación de T-Mobile apareció por primera vez en un foro de piratería cuando un desconocido puso a la venta una base de datos por 6 bitcoins (~ 280.000 dólares). El asaltante dijo haber pirateado los servidores de producción, preparación y desarrollo de T-Mobile hace dos semanas, incluyendo un servidor de base de datos Oracle que contenía datos de clientes.

Las bases de datos contienen datos de hasta 106 millones de clientes e incluyen el número único que se utiliza para identificar teléfonos móviles (IMEI),  el número único asociado con un usuario en una red celular IMSI, números de teléfono, nombres de clientes, PIN de seguridad, números de seguro social, números de licencia de conducir y fecha de nacimiento de los clientes.

Como prueba de la violación, los atacantes compartieron una captura de pantalla de una conexión SSH a un servidor de producción que ejecuta Oracle. Cuando se les preguntó si intentaron pedir un rescate a T-Mobile para no publicar los datos, los asaltantes dijeron que nunca contactaron con la compañía y decidieron venderlos en foros donde ya tenían compradores interesados.

«Estamos al tanto de las afirmaciones hechas en un foro clandestino y hemos estado investigando activamente su validez. No tenemos ninguna información adicional para compartir en este momento», dijo T-Mobile a BleepingComputer.

T-Mobile se ha negado a realizar más declaraciones y a responder preguntas de seguimiento sobre la magnitud de la infracción. Lo que sí se ha sabido es que ha localizado la puerta trasera instalada por los atacantes y cerrado sus servidores. «Creo que ya se enteraron del ataque porque perdimos el acceso a los servidores», dijeron los ciberdelincuentes, aunque aseguraron que la información robada estaba respaldada en varios lugares.