示意圖,與新聞事件無關。

圖片來源: 

T-Mobile

美國電信業者T-Mobile上周揭露公司網路遭駭,約200萬名用戶的姓名、電子郵件或帳號密碼等個資外洩。

T-Mobile的網路安全部門在8月20日一早發現該公司伺服器發生事故,「一小部份」用戶資料遭非獲授權人士複製取走後立即切斷網路,並且立即報警。外洩的資料包括姓名、居住地郵遞區號、電話號碼、電子郵件、帳號及帳號類別(預付或後付)等。T-Mobile強調用戶的財務資訊(如信用卡號)、社會安全號碼並未外洩。

T-Mobile表示,來自「國際組織」的駭客透過API存取該公司的伺服器,進而竊取了用戶個資。但是該組織是網路罪犯或是國家資助的駭客,則尚不得而知。

T-Mobile公告中並未說明有多少資料外洩,不過該公司向Motherboard指出,受影響人數佔該公司7700萬用戶的3%,大約是200萬人。T-Mobile也在上周五開始以簡訊告知受影響的用戶。

值得注意的是,在最初的公告中,T-Mobile表示用戶密碼也沒有外洩。但後來被外部研究人員取得資料,發現其中包含用戶密碼檔,才向Motherboard坦承,密碼其實也在外洩資料之列,但是有加密保護。不過媒體經由外部安全研究人員得知,外洩的密碼可能是安全度不高的MD5,可以用暴力破解,或是利用密碼資料庫的大量雜湊以反向工程破解。

T-Mobile執行長John Legere 建議使用者最好定期變更帳號密碼

這已是T-Mobile最新一次陷入網路安全的麻煩。去年10月有安全研究人員揭露這家電信業者網路上有漏洞,能讓駭客輕易查詢到用戶資料,如電子郵件、信用卡號碼,進而用作SIM卡綁架(SIM hijacking或SIM swapping)。今年5月間又被爆該公司員工使用的子網域漏洞,只要在URL輸入電話號碼即可查到用戶姓名、帳號或是認證密碼等。


Advertisement

更多 iThome相關內容