Η Mint Mobile αποκαλύπτει νέα παραβίαση δεδομένων που αποκαλύπτει δεδομένα πελατών

Η Mint

Mobile

αποκάλυψε

μι

α νέα παραβίαση δεδομένων που αποκάλυψε τα προσωπικά στοιχεία των πελατών της, συμπεριλαμβανομένων των δεδομένων που μπορούν να χρησιμοποιηθούν για την πραγματοποίηση επιθέσεων ανταλλαγής SIM.

Η Mint είναι ένας πάροχος εικονικών δικτύων κινητής τηλεφωνίας (MVNO) που ανήκει στην T-Mobile, που προσφέρει προπληρωμένα προγράμματα κινητής τηλεφωνίας με προϋπολογισμό.

Η εταιρεία άρχισε να ειδοποιεί τους πελάτες στις 22 Δεκεμβρίου μέσω

email

με τίτλο “Σημαντικές πληροφορίες σχετικά με τον λογαριασμό σας”, δηλώνοντας ότι υπέστησαν ένα περιστατικό ασφαλείας και ότι ένας χάκερ έλαβε πληροφορίες πελατών.

“Γράφουμε για να σας ενημερώσουμε για ένα περιστατικό ασφαλείας που εντοπίσαμε πρόσφατα στο οποίο ένας μη εξουσιοδοτημένος παράγοντας έλαβε ορισμένους περιορισμένους τύπους πληροφοριών πελατών”, προειδοποιεί η ειδοποίηση παραβίασης δεδομένων της Mint Mobile.

“Η έρευνά μας δείχνει ότι επηρεάστηκαν ορισμένες πληροφορίες που σχετίζονται με τον λογαριασμό σας.”

Η εταιρεία είπε ότι επέλυσε την παραβίαση και συνεργάζεται με τρίτους εμπειρογνώμονες στον τομέα της κυβερνοασφάλειας για την ασφάλεια των συστημάτων τους.

Τα δεδομένα πελατών που εκτίθενται στην παραβίαση περιλαμβάνουν:

• Ονομα
• Αριθμός τηλεφώνου
• Διεύθυνση ηλεκτρονικού ταχυδρομείου
• Αριθμός σειράς SIM και αριθμός IMEI (αναγνωριστικό συσκευής παρόμοιο με σειριακό αριθμό)
• Μια σύντομη περιγραφή του σχεδίου υπηρεσίας που αγοράσατε

Η Mint λέει ότι δεν αποθηκεύει αριθμούς πιστωτικών καρτών, επομένως δεν εκτέθηκαν. Η εταιρεία είπε επίσης ότι προστατεύουν τους κωδικούς πρόσβασης με “ισχυρή

κρυπτο

γραφική

τεχνολογία

”, ώστε να μην παραβιάζονται.

Η εταιρεία δεν ξεκαθάρισε από αυτή τη δήλωση εάν ο εισβολέας είχε πρόσβαση σε κατακερματισμένους κωδικούς πρόσβασης.

Τα εκτεθειμένα δεδομένα είναι ανησυχητικά, καθώς είναι αρκετές πληροφορίες για έναν παράγοντα απειλής να διεξάγει επιθέσεις ανταλλαγής SIM, δηλαδή όταν ένας εισβολέας μεταφέρει τον αριθμό ενός ατόμου στη δική του συσκευή.

Μόλις αποκτήσουν πρόσβαση στον αριθμό, μπορούν να προσπαθήσουν να αποκτήσουν πρόσβαση στους διαδικτυακούς λογαριασμούς του χρήστη πραγματοποιώντας επαναφορά κωδικού πρόσβασης και λαμβάνοντας τους κωδικούς OTP για να ξεπεράσουν τον έλεγχο ταυτότητας πολλαπλών παραγόντων.

Οι φορείς απειλών χρησιμοποιούν συνήθως αυτήν την τεχνική για να παραβιάσουν λογαριασμούς σε ανταλλακτήρια κρυπτονομισμάτων, κλέβοντας όλα τα περιουσιακά στοιχεία που είναι αποθηκευμένα στο διαδικτυακό πορτοφόλι.

Ωστόσο, η Mint λέει ότι οι πελάτες δεν χρειάζεται να κάνουν καμία ενέργεια και μπορούν να καλέσουν την υποστήριξη πελατών στο 949-704-1162 για τυχόν ερωτήσεις.

Ένας συντονιστής του Mint Reddit επιβεβαίωσε ότι αυτός ο αριθμός έχει ρυθμιστεί ειδικά για να χειρίζεται ερωτήσεις σχετικά με την παραβίαση δεδομένων.

“Εάν λάβατε μια ειδοποίηση μέσω email από τη
στις 22 Δεκεμβρίου 2023, αυτή είναι από τη Mint και δεν είναι απάτη. Ο αριθμός Εξυπηρέτησης Πελατών έχει ρυθμιστεί για να χειρίζεται συγκεκριμένες ερωτήσεις σχετικά με αυτήν την επικοινωνία.”

εξήγησε

ένας συντονιστής της Mint στο Reddit.

Ενώ η Mint δεν έχει αποκαλύψει λεπτομέρειες σχετικά με τον τρόπο παραβίασής τους, η υπηρεσία πληροφοριών απειλών FalconFeeds

αναφέρθηκε τον Ιούλιο του 2023

ότι ένας ηθοποιός απειλών προσπάθησε να πουλήσει δεδομένα σε ένα φόρουμ hacking που φέρεται να είχε κλαπεί από τη Mint Mobile και την Ultra Mobile.

Ο ηθοποιός των απειλών είπε ότι τα δεδομένα είναι μερικών μηνών αλλά περιείχαν τα τελευταία τέσσερα ψηφία των πιστωτικών καρτών των πελατών, επομένως δεν είναι σαφές εάν το περιστατικό σχετίζεται με την αποκαλυπτόμενη παραβίαση.

Η Mint Mobile υπέστη προηγουμένως παραβίαση δεδομένων το 2021 όταν ένα μη εξουσιοδοτημένο άτομο είχε πρόσβαση στις πληροφορίες λογαριασμού συνδρομητών και μετέφερε αριθμούς τηλεφώνου σε άλλη εταιρεία.

Πιο πρόσφατα, η μητρική εταιρεία της Mint, η T-Mobile, υπέστη μαζική παραβίαση δεδομένων τον Ιανουάριο του 2023 που αποκάλυψε τα δεδομένα 37 εκατομμυρίων λογαριασμών. Τον Μάιο του 2023, υπέστησαν μια επιπλέον παραβίαση, αλλά αυτή ήταν πολύ μικρότερη, αποκαλύπτοντας μόνο τα δεδομένα 836 πελατών.

Η BleepingComputer επικοινώνησε με τη Mint με ερωτήσεις σχετικά με την επίθεση και εάν αποκαλύφθηκαν κατακερματισμένοι κωδικοί πρόσβασης, αλλά δεν έλαβε απάντηση.