De hacker die verantwoordelijk is voor het datalek bij de Amerikaanse tak van T-Mobile, claimt dat de informatiebeveiliging bij de provider te wensen overlaat. Via een onbeveiligde router wist hij het netwerk van het telecombedrijf te infiltreren en toegang te krijgen tot gegevens van miljoenen Amerikaanse klanten. Zijn doel was om voor opschudding te zorgen.
Dat vertelt de 21-jarige hacker, die opereert onder de schuilnaam John Binns, tegenover The Wall Street Journal.
Gegevens van meer dan 50 miljoen T-Mobile klanten gestolen
Vorige week ontdekte techsite Motherboard dat een hacker de klantgegevens van tientallen miljoenen Amerikaanse T-Mobile klanten had weten buit te maken en te koop aanbood op een hackersforum op het dark web. De provider zei de geruchten te hebben gehoord en beloofde de zaak tot op de bodem uit te zoeken.
De eerste bevindingen van het onderzoek lieten niet lang op zich wachten. Een paar dagen na de onthulling van de hacker meldde T-Mobile dat de gegevens van 48 miljoen klanten en voormalige klanten op straat lagen. Het betrof zaken als voor- en achternamen, adressen, gegevens van rijbewijzen en social security numbers.
Weer een aantal dagen later stelde het telecombedrijf de cijfers opnieuw bij. In totaal waren 54,8 miljoen klanten betrokken bij het datalek. Bij 8 miljoen klanten waren bovendien identiteitsgegevens op straat beland. Verder zei T-Mobile dat de aanvaller IMEI- en IMSI-nummers had gestolen. De International Mobile Equipment Identity of IMEI-nummer is een nummer waarmee de identiteit van een smartphone kan worden vastgesteld. Bij aangifte van diefstal vraagt de politie naar dit nummer. Het International Mobile Subscriber Identity of IMSI-nummer is een identificatienummer waarmee providers specifieke netwerkgebruikers kunnen herkennen.
Hacker wist via onbeveiligde router klantgegevens te bemachtigen
Tot nu toe was onbekend wie er verantwoordelijk was voor de datadiefstal. Nu blijkt dat ‘John Binns’ (niet zijn echte naam) hier achter zat. Volgens The Wall Street Journal is het een 21-jarige man die een aantal jaar geleden naar Turkije is verhuisd. Via Telegram deed de man zijn verhaal tegenover de Amerikaanse krant.
De hacker vertelt dat hij met ‘een eenvoudige tool die voor iedereen beschikbaar is’ het netwerk van T-Mobile scande op zwakheden. Daarbij stuitte hij op een onbeveiligde router die met internet verbonden was. Dat was zijn toegangspunt voor het bedrijfsnetwerk. Via de router wist hij het datacentrum in Washington binnen te dringen. Daar trof hij inloggegevens aan van meer dan honderd servers.
‘John Binns’ nam een week de tijd om de inhoud van de servers te bestuderen. Op een gegeven moment stuitte hij op persoonsgegevens en andere vertrouwelijke informatie van tientallen miljoenen klanten en voormalige klanten van T-Mobile. Op 4 augustus begon hij met het binnenhalen van de data. Bijna tien dagen later, op 13 augustus, waarschuwde cybersecuritybedrijf Unit221B de provider dat iemand klantgegevens probeerde te verkopen op het dark web. Na deze melding gaf T-Mobile de opdracht om het datalek te onderzoeken.
Aanvaller schrok van de ‘vreselijk slechte’ beveiliging
De aanvaller zegt tegen The Wall Street Journal dat hij enorm was geschrokken. “Ik raakte in paniek omdat ik toegang had tot iets groots.” De beveiliging bij T-Mobile omschrijft hij als ‘vreselijk slecht’. Hij weigerde te zeggen of hij de gestolen klantgegevens daadwerkelijk heeft verkocht. Hij vroeg er zes bitcoin voor op een hackersforum, omgerekend zo’n 250.000 euro. ‘Binns’ weigerde eveneens antwoord te geven op de vraag of hij door iemand betaald werd om klantgegevens te stelen van T-Mobile.
Over zijn motieven om in te breken bij de provider, zegt de hacker enkel dat hij opschudding teweeg wilde brengen. We kunnen concluderen dat dat is gelukt.
T-Mobile krijgt twee massaclaims aan zijn broek
Het forensisch onderzoek naar het datalek loopt nog steeds. T-Mobile zegt met man en macht te werken om de omvang en impact van de aanval in kaart te brengen. Het bedrijf zegt maatregelen te hebben genomen om herhaling in de toekomst te voorkomen.
Daarmee is het verhaal nog niet ten einde. Deze week werd bekend dat de provider zich moet verweren tegen twee massaclaims. In de eerste zaak zeggen gedupeerden dat ze ‘aanzienlijke risico’s’ lopen door het datalek. Ze stellen dat oplichters met de gestolen gegevens onder meer uitkeringen kunnen aanvragen, leningen kunnen afsluiten en rijbewijzen kunnen vervalsen. In de tweede class-action lawsuit zeggen slachtoffers dat ze meer dan duizend uur al bezig zijn geweest om zich te beschermen tegen de privacyrisico’s van het lek. Dan moet je denken aan het controleren van afschriften op verdachte betalingstransacties.
“T-Mobile wist dat zijn systemen kwetsbaar waren voor aanvallen. Toch slaagde het er niet in redelijke beveiligingsprocedures en -praktijken in te voeren en te handhaven die pasten bij de aard van de informatie om de persoonsgegevens van zijn klanten te beschermen. Daardoor lopen miljoenen klanten opnieuw een groot risico op oplichting en identiteitsdiefstal. Klanten verwachtten en verdienden beter van de op-één-na grootste provider van het land”, zo staat er in de aanklacht.
De eisers willen dat de rechtbank een schadevergoeding toekent aan de slachtoffers. Tevens willen ze gecompenseerd worden voor de tijd die ze zijn verloren door het datalek. Tot slot eisen ze dat de rechtbank maatregelen neemt tegen T-Mobile. De provider moet de beveiliging van haar systemen opschroeven, jaarlijks audits uitvoeren om de systemen te controleren en persoonsgegevens niet langer opslaan in de cloud.
