T-Mobile è una multinazionale di telefonia mobile: poco conosciuta in Italia, è diffusissima all'estero, soprattutto in Germania (dove ha la sede legale) e negli Stati Uniti. Conta circa 52.000 dipendenti e registra un fatturato annuo tra i 44 e i 50 miliardi di dollari Usa: insomma, un gigante per davvero.

Qualche setimana fa la redazione di Motherboard ha pubblicato un report nel quale ha raccontato i contatti che i giornalisti hanno avuto con un cyber attaccante che avevano pubblicato su una serie di forum di hacking l'annuncio della messa in vendita di un archivio contente i dati personali di milioni di utenti della compagnia telefonica. L'annuncio parlava di dati come nome e cognome, indirizzo fisico, estremi delle tessere e assicurazioni sanitarie e della patente di guida, ma anche IMSI, IMEI, numeri di telefono, PIN di sicurezza di circa 100 milioni di persone.

Da parte sua T-Mobile si è subito attivata, in prima battuta per capire la veridicità o meno dell'annuncio. Perchè si, è plausibile che tali dati siano reali dato che la telco ha subito una lunga serie di attacchi negli ultimi due anni: il più recente (tra quelli noti) risale al Dicembre 2020, un data breach limitato alle utenze telefoniche senza intaccare la riservatezza di altri dati personali dei clienti. Ma nel 2018 e 2019 una serie di attacchi mirati hanno esposto i dati sensibili di circa 2 milioni di persone (2018) e nomi, indirizzi fisici e numeri di account di un numero imprecisato di utenti (2019).

Purtroppo l'annuncio si è dimostrato vero: l'archivio di dati è costituito da dati effettivamente rubati, costa complessivamente 6 Bitcoin (270.000 dollari statunitensi) ma può essere acquistato anche in porzioni. Una porzione di archivio contiene i dati sensibili di circa 30 milioni di utenti.

La comunicazione della società è arrivata ai clienti poco dopo Ferragosto:
"La nostra analisi preliminare ci porta a poter dire che sono approssimativamente 7,8 milioni gli attuali clienti del servizio postpaid di T-Mobile postpaid le cui informazioni sensibili sembrano essere contenute nei file sottratti. Al contempo sono poco più di 40 milioni le registrazioni su clienti del passato o potenziali che hanno sottoscritto moduli con T-Mobile. In ogni caso nessun numero di telefono, numero di account, Pin, password e nessuna informazione finanziaria è stata sottratta in nessuno dei file che sono stati rubati, né per i clienti attuali né per quelli potenziali”. La causa? Un “attacco altamente sofisticato”, spiegano.

Fa sorridere, ma l'autore del "sofisticato attacco" ha deciso di venire allo scoperto giusto qualche giorno fa: è un ragazzo statunitense di 21 anni residente in Turchia, che ha spiegato pubblicamente (almeno in parte) come ha condotto l'attacco. Nella ricostruzione ha detto di aver violato i server aziendali (compreso il server Oracle con i dati dei clienti), ottenendo l'accesso ad un Gateway GPRS Support Node (GGSN) non protetto e quindi rubando a piene mani direttamente da lì. Il tutto è stato possibile perchè l'attaccante ha scoperto, usando strumenti di monitoraggio pubblicamente disponibili come Shodan e Nmap, un router configurato in modo errato: l'accesso è avvenuto a partire da quel router. Il ragazzo ha comunque confessato di aver richiesto aiuto per il passo successivo, cioè quello di ottenere le credenziali di accesso ai database T-Mobile. Il punto di accesso sarebbe stato il data center di Washington, per poi riuscire ad accedere a più di 100 server della rete di T-Mobile.

 
Fonte: uno screenshot dei server T-Mobile che l'attaccante ha condiviso col Wall Street Journal

Il ragazzo, che ha rilasciato una lunga testimonianza al Wall Street Journal, ha così commentato l'evento: "la loro (di T-Mobile n.d.r) sicurezza informatica è terribile. Ero nel panico, perchè avevo accesso a qualcosa di davvero grosso".