编者注:本文的作者Lorenzo Franceschi-Bicchierai是纽约布鲁克林Motherboard Vice栏目的一名特约撰稿人,主要负责黑客、信息安全和数字版权方面的稿件撰写。本文主要对T-Mobile用户的个人数据遭到黑客攻击的事件进行报道和分析。
在该数据泄露事件首次曝光后,一位T-Mobile的发言人表示,“加密密码”也受到了一定程度的攻击。但该公司在最初发表的声明中称:“更敏感的信息,包括财务数据、社会安全号码和密码,在本次黑客攻击中没有泄露。”
当外媒就该公司的措辞进行采访时,其发言人回应称:“我们做出上述声明的原因是,这些‘密码’均未受到损害,它们被加密了。”
该发言人拒绝详述这些密码的加密方式,也拒绝具体说明其所使用的散列算法(hashing algorithm)。在该数据泄露事件曝光的几个小时后,安全研究人员Nicholas Ceraolo表示,泄露的数据远超T-Mobile所披露的数据。该研究人员分享了一份疑似泄密数据的样本,其中包含一个名为“用户密码”的字段,与密码加密表示的散列(Hash)非常相似。(Ceraolo表示自己并未受到黑客攻击,而是从一位“共同好友”那里获得了该份样本。)
Motherboard就该散列向两位安全研究人员进行咨询,他们表示,该密码的加密方式可能是一个编码的字符串,并用一种被称为MD5 的弱算法进行散列处理,该算法也因为会被野蛮攻击破解而臭名昭著。
密码破解企业Terahash的首席执行官、著名的密码专家Jeremi M. Gosney也对该散列进行了分析。Gosney表示,尽管该散列算法并不十分清晰,但通过访问数据库中更大的散列样本,算法可能会被逆向设计。
他在接受采访时表示,用户可以视为他们的密码已经被盗了,应该及时修改密码。T-Mobile的首席执行官John Legere则发推特表示:“用户应该养成定期修改密码的好习惯。”
以下是关于此次泄露事件的来龙去脉。
周四晚间,T-Mobile披露了一起数据泄露事件,黑客窃取了 200 万用户的部分个人数据。该公司表示,在此次短暂的入侵中,黑客窃取了部分用户数据,包括姓名、电子邮件地址、帐号和其他账单信息。好消息是他们并未获取信用卡和社保号码。
T-Mobile在声明中表示,其网络安全团队于 8 月 20 日(星期一)检测到“未经授权访问某些信息”的行为。
该公司网站上发表的声明称:“我们的网络安全团队发现并阻止了对包括您的信息在内的某些未经授权信息的访问,我们迅速向当局报告了此事。您的财务数据(包括信用卡信息)、社保号码以及密码并没有被泄露。但是,关于您的部分个人信息可能已被曝光,其中可能包含以下一项或多项信息:姓名、帐单编码、电话号码、电子邮件地址、帐号和帐户类型(预付或邮资)等。”
T-mobile公司的一位发言人表示,在其 7700 万客户中,受到这一漏洞影响的客户占比“大约”或“略低于”3%。这位发言人在一条短信中提到:“幸运的是,受害者数量并不大。”但她拒绝透露确切的数字。
这位发言人补充道,这起“事件”发生在 8 月 20 日凌晨,一家国际集团的黑客通过API访问该公司服务器,该API不包含任何财务信息或其他敏感的数据。随后,在入侵的同一天,网络安全团队就监测到了这一漏洞。
该发言人说:“我们的团队很快发现并阻止了他们的潜在行为。”但她拒绝透露此次攻击的细节,公司方面对黑客的身份也一无所知。
T-Mobile通过短信与受害者直接联系,对此次事件进行说明。
该公司还在声明中表示:“所有受影响的用户已经或将很快收到通知。如果您没有收到通知,意味着您的帐户并未受此事件影响。”T-Mobile同时鼓励相关用户拨打 611 与客服联系。
过去一年,T-Mobile发生了一系列无穷无尽的安全事件,此次事件则是最新的一次。 2017 年 10 月,据Motherboard披露,黑客在该公司网站上发现了一个棘手的漏洞,使他们可以通过电话号码查询用户的个人数据。犯罪分子则利用这一漏洞进行犯罪活动,例如,窃取用户手机号码的SIM卡劫持行为。
T-Mobile最初表示“没有任何账户受影响的直接证据”,但这种说法并不确切。几天后,T-Mobile向被攻击的用户发出预警通知。今年 2 月,T-Mobile又向用户大量发布了SIM卡劫持的威胁。
2 月,一名安全研究人员在T-Mobile另一个网站上发现了一个“关键”漏洞,黑客可利用该漏洞劫持用户的帐户。据该公司称,在被利用前,该漏洞已成功修复。
此外,T-Mobile曾于 2015 年遭到黑客攻击,并丢失了包含 1500 万人社保号码在内的个人数据。