Em um processo federal, a operadora revela que um “mau ator” acessou dados de “aproximadamente 37 milhões de contas atuais de clientes pós-pagos e pré-pagos”.
A T-Mobile foi atingida por outra violação de dados. Na quinta-feira, a segunda maior operadora sem fio do país divulgou que um “mau ator” se aproveitou de uma de suas interfaces de programação de aplicativos para obter dados sobre “aproximadamente 37 milhões de contas atuais de clientes pós-pagos e pré-pagos”.
Em um arquivo 8K com a Comissão de Valores Mobiliários dos EUA, a operadora diz que foi capaz de rastrear e interromper a “atividade maliciosa” um dia depois de saber disso. A T-Mobile também diz que a API usada não permite o acesso a “qualquer informação de cartão de pagamento do cliente, números de segurança social/identidades fiscais, carteira de motorista ou outros números de identificação do governo, senhas/PINs ou outras informações de contas financeiras”.
De acordo com o registro, a operadora acredita que a violação ocorreu pela primeira vez “em ou por volta” de 25 de novembro de 2022. A operadora não soube que um “ator mal-intencionado” estava obtendo dados de seus sistemas até 5 de janeiro de 2023.
A API da empresa, no entanto, revelou uma série de outras informações do usuário, incluindo nome, endereço de cobrança, e-mail, número de telefone e data de nascimento de seus clientes, seus números de conta T-Mobile e informações sobre quais recursos do plano eles têm com o operadora e o número de linhas em suas contas.
Em um comunicado à imprensa, a T-Mobile tentou minimizar o tipo de dados que foi revelado na violação, observando que algumas dessas “informações básicas do cliente” podem ser encontradas em “amplamente disponíveis em bancos de dados ou diretórios de marketing”.
A operadora reiterou que nenhuma senha ou dados financeiros foram expostos e que “também não há evidências de que o malfeitor tenha violado ou comprometido a rede ou os sistemas da T-Mobile”.
A notícia da mais recente violação de dados chega quando a operadora está nos últimos dias da fase de liquidação de um ataque cibernético de 2021 que expôs os dados de aproximadamente 76,6 milhões de pessoas. A T-Mobile concordou com um acordo de US$ 500 milhões no caso em julho passado, com US$ 350 milhões destinados a liquidar reivindicações de clientes de uma ação coletiva e US$ 150 milhões destinados à atualização de seu sistema.
O prazo para registrar uma reclamação sobre essa violação de dados é 23 de janeiro.
Não está claro o que pode acontecer como resultado dessa nova violação. No arquivamento da 8K, a operadora diz que “continuará a fazer investimentos substanciais para fortalecer nosso programa de segurança cibernética”, mas observa que também “pode incorrer em despesas significativas relacionadas a este incidente”.