Un incident a eu lieu chez T-MOBILE, l’opérateur téléphonique appartenant à la société DEUTSCHE TELEKOM. Des données associées à 37 millions de comptes états-uniens ont été dérobées autour du 25 novembre 2022. Ces données contiennent notamment : le nom du client, l’adresse de facturation, l’adresse e-mail, le numéro de téléphone, le numéro de compte client et la date de naissance.

La société a indiqué dans un communiqué posté le 5 janvier 2023 que l’accès non autorisé aux données a été réalisé à partir d’une API non sécurisée de l’entreprise.

Le communiqué de la société du 5 janvier 2023 destinés à ses investisseurs :

« T-Mobile US, Inc. […] a identifié qu’un acteur malveillant a obtenu des données sans autorisation par le biais d’une seule interface de programmation d’applications ("API"). Nous avons rapidement lancé une enquête avec des experts externes en cybersécurité et, moins d’une journée après avoir pris connaissance de l’activité malveillante, nous avons été en mesure de remonter à la source de l’activité malveillante et de l’arrêter. Notre enquête est toujours en cours, mais l’activité malveillante semble être entièrement contenue à l’heure actuelle, et il n’y a actuellement aucune preuve que l’acteur malveillant ait pu violer ou compromettre nos systèmes ou notre réseau.

Nos systèmes et nos politiques ont empêché l’accès aux types d’informations clients les plus sensibles et, par conséquent, d’après notre enquête à ce jour, les comptes et les finances des clients n’ont pas été mis en danger directement par cet événement. L’API utilisée de manière abusive par l’acteur malveillant ne permet pas d’accéder aux informations relatives aux cartes de paiement des clients (PCI), aux numéros de sécurité sociale, aux numéros d’identification fiscale, aux numéros de permis de conduire ou autres numéros d’identification gouvernementaux, aux mots de passe/NIP ou autres informations relatives aux comptes financiers. Au contraire, l’API touchée ne peut fournir qu’un ensemble limité de données sur les comptes clients, notamment le nom, l’adresse de facturation, l’adresse électronique, le numéro de téléphone, la date de naissance, le numéro de compte T-Mobile et des informations telles que le nombre de lignes sur le compte et les caractéristiques du plan. Le résultat préliminaire de notre enquête indique que le ou les acteurs malveillants ont obtenu des données à partir de cette API pour environ 37 millions de comptes clients postpayés et prépayés actuels, bien que beaucoup de ces comptes ne comprenaient pas l’ensemble des données.

Nous pensons actuellement que l’acteur malveillant a récupéré pour la première fois des données via l’API concernée à partir du 25 novembre 2022 ou autour de cette date. Nous continuons à enquêter avec diligence sur cette activité non autorisée. En outre, nous avons informé certaines agences fédérales de l’incident, et nous travaillons simultanément avec les forces de l’ordre. De plus, nous avons commencé à informer les clients dont les informations ont pu être obtenues par le mauvais acteur, conformément aux exigences étatiques et fédérales applicables.

Comme nous l’avons déjà indiqué, en 2021, nous avons commencé un investissement pluriannuel substantiel en travaillant avec des experts externes de premier plan en matière de cybersécurité pour améliorer nos capacités de cybersécurité et transformer notre approche de la cybersécurité. Nous avons fait des progrès substantiels à ce jour, et la protection des données de nos clients reste une priorité absolue. Nous continuerons à faire des investissements substantiels pour renforcer notre programme de cybersécurité.

Nous pourrions encourir des dépenses importantes en rapport avec cet incident.

Bien que nous ne soyons pas en mesure de prédire l’impact total de cet incident sur le comportement des clients à l’avenir, y compris si un changement de comportement de nos clients pourrait avoir un impact négatif sur nos résultats d’exploitation de manière continue, nous ne prévoyons pas actuellement qu’il aura un effet important sur les activités de la société.