Sono 37 milioni gli utenti coinvolti nel data breach di T-Mobile USA causato dall'uso improprio di una API sviluppata per condividere dati sui clienti della società tra sistemi IT di T-Mobile stessa. I dettagli sono frammentari: non è dato sapere quale sia la API incriminata, è solo stato reso noto che gli attaccanti si sono connesso senza necessità di autenticarsi in alcun modo.

La gravità dell’incidente informatico è persino superiore a quanto potrebbe sembrare in un primo moment, dato che T-Mobile reputa che l'esfiltrazione di dati sia iniziata quasi due mesi fa, ma sia stata rilevata solo lo scorso 5 gennaio. Gli attaccanti hanno quindi avuto tutto il tempo di muoversi liberamente all’interno della rete T-Mobile e di cercare quello che gli interessava.

Dopo meno di un giorno di indagini, si spiega in un documento ufficiale presentato alle autorità USA, il meccanismo di esfiltrazione è stato identificato e bloccato. Non prima però che l'attaccante sottraesse dati su 37 milioni di clienti.

La società spiega che l'API coinvolta non poteva accedere a dati veramente sensibili dei cliienti, come ad esempio password o informazioni sulle carte di credito. Gli attaccanti hanno avuto accesso a quello che T-Mobile definisce "un insieme limitato di dati", insieme che però comprende molte informazioni decisamente utili per, ad esempio, successive azioni di phishing: nome, indirizzo, email, numero di telefono, data di nascita, linee telefoniche attivate, caratteristiche dell'abbonamento attivo.

T-Mobile ha tra l'altro sottolineato che quasi tutte queste informazioni sono "del tipo ampiamente disponibile nei database di marketing", il che comunque non cambia la sostenza dell'evento. C'è stato un data breach le cui conseguenze potrebbero comportare - T-Mobile lo afferma nel documento alle autorità - "spese significative".

A parte il numero di persone coinvolte, che è indubbiamente d'effetto, il caso T-Mobile è significativo perché è l'ennesima testimonianza di come la creazione di infrastrutture applicative complesse possa portare, se mal gestita, a problemi di sicurezza spesso poco evidenti. In questo caso non è chiaro se l'API "abusata" sia stata mal programmata o se l'attaccante abbia potuto sfruttare qualche vulnerabilità specifica. Sta di fatto che la comunicazione di dati tra sistemi T-Mobile non era adeguatamente protetta, segno che qualcosa è sfuggito ai processi di vulnerability assessment che la società ha - o non ha - svolto.