Twee weken nadat het datalek bij T-Mobile aan het licht kwam, kan de provider nog steeds weinig details delen over de precieze toedracht. Het telecombedrijf ontkent echter met kracht dat de beveiliging van klantgegevens te wensen overlaat. Sterker nog, de dader gebruikte ‘gespecialiseerde tools’, brute force attacks en andere methoden om zich een weg te banen door de IT-infrastructuur van het bedrijf.
Dat zegt Mike Sievert, CEO van T-Mobile, in een uitgebreide verklaring. Het is de eerste keer dat de topman ingaat op het incident.
Geluk bij een ongeluk
Sievert zegt dat medewerkers de afgelopen twee weken onvermoeibaar hebben doorgewerkt om de cyberaanval op het bedrijf op te lossen. Nu het datalek is ingedamd en het onderzoek grotendeels is afgerond, wil de algemeen directeur zijn zegje doen over het voorval.
Allereerst staat hij stil bij de gebeurtenissen van de afgelopen tijd. Hij erkent dat persoonsgegevens en andere data van miljoenen klanten, oud-klanten en potentiële klanten (leads) zijn buitgemaakt door de hacker. Het gaat om voor- en achternamen, adressen, identiteitsgegevens, social security numbers, IMEI- en IMSI-nummers. Dat er geen creditcardgegevens, informatie over betaaltermijnen en andere financiële gegevens zijn gestolen, noemt Sievert een geluk bij een ongeluk. “Dat we teleurgesteld en gefrustreerd zijn, is een understatement”, zo zegt hij.
Het beveiligen van klantgegevens noemt de topman ‘een verantwoordelijk die we ongelooflijk serieus nemen’. Hij betreurt het dan ook dat T-Mobile er niet in geslaagd is deze data te beschermen. “Aanvallen zoals deze nemen toe en hackers zoeken dag in dag uit om nieuwe manieren om onze systemen aan te vallen en uit te buiten. We investeren veel tijd en energie om ze een stap voor te blijven, maar we hebben niet voldaan aan de verwachtingen die we van onszelf hebben om onze klanten te beschermen. Weten dat we er niet in geslaagd zijn deze blootstelling te voorkomen, is een van de moeilijkste delen van deze gebeurtenis.”
‘Hacker baande zich een weg door onze systemen met brute force attacks’
Sievert biedt zijn oprechte excuses aan voor het incident. Tevens belooft hij om de beveiligingsmaatregelen op te schroeven. Zo is het access point waar de hacker het netwerk van T-Mobile is binnengedrongen afgesloten. De CEO verzekert zijn klanten dat het gevaar is geweken en er geen nieuwe gegevens gestolen zullen worden.
Het telecombedrijf werkt nauw samen met handhavingsinstanties, die twee weken begonnen zijn met een strafrechtelijk onderzoek. Om het onderzoek niet in gevaar te brengen, kan de directeur op dit moment niet gedetailleerd ingaan op de zaak. Wat hij wel kwijt wil, is dat er niets mis is met de beveiliging van het bedrijf. “Wat ik wil delen is, simpel gezegd, dat de hacker zijn kennis van technische systemen, gespecialiseerde tools en expertise heeft gebruikt om toegang te krijgen tot onze testomgevingen. Vervolgens heeft hij brute force attacks en andere methoden gebruikt om zich een weg te banen naar andere IT-servers die klantgegevens bevatten”, aldus Sievert.
De topman is ervan overtuigd dat de hacker het bedrijf bewust heeft aangevallen om klantgegevens te stelen. Sinds het datalek naar buiten is gebracht, heeft T-Mobile er naar eigen zeggen alles aan gedaan om de gevolgen en risico’s voor gedupeerden te minimaliseren. “Er is nog veel werk te doen en dat gaat tijd kosten. We blijven ons best doen om ervoor te zorgen dat klanten waarvan gegevens zijn bemachtigd zich geïnformeerd, gesteund en beschermd voelen door T-Mobile”, zo belooft de algemeen directeur.
CEO: ‘We zijn sterker dan ooit’
Hackers evolueren voortdurend hun aanvalsmethoden. Om op de lange termijn een vuist te vormen tegen deze praktijken, gaat T-Mobile een samenwerkingsverband aan met cybersecuritybedrijf Mandiant en consultancybureau KPMG. “We weten dat we extra expertise nodig hebben om onze inspanningen op het gebied van cyberbeveiliging naar een hoger niveau te tillen. Daarom hebben we hulp ingeschakeld”, zo vertelt Sievert. Deze regelingen maken deel uit van een ‘aanzienlijke meerjarige investering’ in de strijd tegen hackers en cybercriminelen.
“Het gaat erom dat we de vuurkracht verzamelen die we nodig hebben om criminelen beter te kunnen bestrijden en een toekomstgerichte strategie op te bouwen om T-Mobile en onze klanten te beschermen (…) Ik heb vertrouwen in deze partnerschappen en ben optimistisch over de kansen die ze bieden om ons te helpen deze verschrikkelijke gebeurtenis achter ons te laten, met verbeterde veiligheidsmaatregelen en een veel sterkere positie”, zo eindigt Sievert zijn bijdrage over het datalek.
Hacker: ‘Beveiliging T-Mobile is vreselijk slecht’
Afgelopen week vertelde ‘John Binns’ -de pseudoniem van de hacker die verantwoordelijk is voor het datalek- dat de beveiliging van het netwerk van T-Mobile ‘vreselijk slecht’ is. Hij gebruikte een tool om het netwerk van de provider op zwakheden te scannen. Zo vond hij een onbeveiligde router die met internet verbonden was. Via de router wist hij het datacentrum in Washington binnen te dringen. Daar trof hij inloggegevens aan van meer dan honderd servers.
‘Binns’ nam een week de tijd om de inhoud van de servers te bestuderen. Op een gegeven moment stuitte hij op de klantgegevens van meer dan vijftig miljoen klanten. “Ik raakte in paniek, omdat ik toegang had tot iets groots”, zo vertelde hij vorige week aan The Wall Street Journal. Hij zei dat hij met zijn actie voor opschudding wilde zorgen. Waarom hij de gestolen gegevens vervolgens aanbood op een hackersforum op het dark web, blijft onduidelijk.
T-Mobile moet zich de komende tijd verweren in de rechtszaal. Afgelopen week kreeg de provider twee massaclaims aan zijn broek. De eisers willen een schadevergoeding voor de risico’s die ze lopen, compensatie voor de tijd die ze kwijt zijn om identiteitsfraude te voorkomen en dat de rechter beveiligingsmaatregelen oplegt aan het telecombedrijf, waaronder jaarlijkse audits om de systemen te controleren.
