Een hacker verkoopt op een forum op het dark web een dataset met privacygevoelige gegevens van meer dan honderd miljoen mensen. Hij claimt dat de informatie afkomstig is van de servers van T-Mobile. De provider onderzoekt de uitspraak van de hacker.
Dat schrijft de Amerikaanse techsite Motherboard, die contact heeft gehad met de verkoper.
Hacker steelt persoonsgegevens van honderd miljoen klanten
De gestolen dataset bevat uiteenlopende persoonlijke gegevens, waaronder namen, adressen, IMEI-nummers, gegevens van rijbewijzen, en social security numbers (burgerservicenummers). De aanvaller heeft een sample van de dataset opgestuurd naar de redactie van Motherboard. Die bevestigt dat de gegevens echt zijn en accurate informatie bevatten van T-Mobile klanten.
In een chatgesprek met de techsite vertelt de hacker dat de gegevens afkomstig zijn van verschillende slecht beveiligde servers van T-Mobile. Op dit moment heeft de dader niet langer toegang tot de servers van het bedrijf. Hij vermoedt dat T-Mobile de backdoor heeft ontdekt die hij had aangebracht en gesloten heeft. Maar niet voordat hij klantgegevens van meer dan honderd miljoen klanten had buitgemaakt. Bovendien heeft hij meerdere back-ups van deze data gemaakt.
T-Mobile onderzoekt claim hacker
Op een hackersforum op het dark web vraagt de aanvaller een bedrag van zes bitcoin voor een subset van dertig miljoen social security numbers en rijbewijzen. Tegen de huidige koers komt dat neer op ruim 240.000 euro.
In een reactie tegenover Motherboard zegt T-Mobile dat ze op de hoogte is van de claim van een groot datalek. “Wij zijn op de hoogte van beweringen op een ondergronds forum en onderzoeken momenteel de validiteit ervan. We hebben op dit moment geen aanvullende informatie te delen”, zo vertelt een woordvoerder van het bedrijf. De provider weigerde in te gaan op vervolgvragen van de techsite.
T-Mobile in opspraak wegens delen niet-geanonimiseerde gegevens met CBS
Voor zover bekend zin er geen persoonsgegevens van Nederlandse T-Mobile klanten buitgemaakt en heeft het bovenstaande verhaal enkel betrekking op Amerikaanse klanten. De provider kwam begin dit jaar in opspraak vanwege een samenwerkingsverband met het Centraal Bureau voor de Statistiek (CBS).
T-Mobile deelde namelijk tussen januari 2018 en april 2020 niet-geanonimiseerde locatie- en belgegevens van klanten met onderzoekers van het CBS. Op het hoofdkantoor van de provider werkten in deze periode vijf medewerkers van het statistiekbureau om een algoritme te ontwikkelen dat met locatiedata het mobiliteits- en verblijfsgedrag van Nederlanders zou kunnen meten.
De CBS-medewerkers hadden ‘volledige toegang’ tot niet-geanonimiseerde locatiedata van klanten. Met deze gegevens is het mogelijk om te achterhalen waar gebruikers zich bevonden toen ze een telefoontje pleegden. Tevens konden de onderzoekers zien wanneer en met wie iemand contact had.
Klanten van T-Mobile werden niet ingelicht over de samenwerking met het CBS. Het Agentschap Telecom en Autoriteit Persoonsgegevens waren eveneens niet op de hoogte van het samenwerkingsverband tussen het telecombedrijf en het statistiekbureau. In een reactie lieten beide toezichthouders weten dat dit nooit ter sprake is gekomen tijdens reguliere overleggen. Ze willen dan ook dat de onderste steen boven komt. Verschillende fracties in de Tweede Kamer stelden schriftelijke vragen aan demissionair minister voor Rechtsbescherming Sander Dekker, minister van Economische Zaken en Klimaat Bas van ’t Wout en staatssecretaris aan hetzelfde ministerie Mona Keijzer.
Update (17 augustus): in een persverklaring bevestigt T-Mobile dat ‘ongeautoriseerde personen’ toegang hebben gehad tot data van het bedrijf. Het telecombedrijf kan op dit moment nog niet bevestigen dat er persoonsgegevens zijn buitgemaakt door de daders. Wel zegt ze er alle vertrouwen in heeft dat het lek is gedicht.
“Wij zetten ons diepgaand technisch onderzoek in al onze systemen voort om de aard van de illegaal geraadpleegde gegevens vast te stellen”, zo staat er het persbericht. Dit onderzoek zal naar verwachting wel even duren. De kwestie heeft naar eigen zeggen topprioriteit. “Zolang we dit onderzoek niet hebben afgerond, kunnen we het gerapporteerde aantal getroffen bestanden of de geldigheid van verklaringen van anderen niet bevestigen.”
T-Mobile zal gaat alle gedupeerden op de hoogte stellen. Hiervoor wil de provider eerst ‘een vollediger en geverifieerd inzicht’ hebben in de situatie. Als het bedrijf precies weet wat er zich heeft voorgedaan, gaat het ‘actief communiceren met klanten en andere belanghebbenden’.
Update (18 augustus 2021): uit een eerste onderzoek blijkt dat ongeveer 7,8 miljoen klanten de dupe zijn geworden van het datalek bij T-Mobile. Tevens zijn de gegevens van nog eens 40 miljoen oud-klanten buitgemaakt door de hackers. In geen van de gevallen zijn telefoonnummers, accountnummers, pincodes, wachtwoorden of financiële gegevens op straat beland. Verder hebben de aanvallers de hand weten te leggen op namen, telefoonnummers en pincodes van 850.000 prepaid klanten. Uit voorzorg heeft T-Mobile de pincode van deze groep slachtoffers gereset.
Dat schrijft de provider in een updatebericht.
T-Mobile gaat gedupeerden op korte termijn op de hoogte brengen van het datalek. Zij mogen twee jaar lang gratis gebruikmaken van McAfee’s ID Theft Protection Service. Als er sprake is van identiteitsfraude, worden ze gecompenseerd voor de schade. Het telecombedrijf raadt klanten aan om de pincode van hun T-Mobile account zo snel mogelijk aan te passen om misbruik te voorkomen.
Update (20 augustus 2021): het datalek bij T-Mobile is nog grootschaliger dan gedacht. In een updatebericht meldt het telecombedrijf dat de gegevens van 13,3 miljoen abonnees op straat liggen. Eerder dacht de provider dat het om de gegevens van 7,8 miljoen klanten ging. Bij deze 7,8 miljoen leden zijn naast naam, geboortedatum en social security number ook identiteits- of rijbewijzen gelekt. Bij de overige 5,3 miljoen abonnees is dat niet het geval.
Verder vertelt T-Mobile dat er tevens telefoonnummers, IMEI- en IMSI-nummers zijn buitgemaakt door de aanvallers. De International Mobile Equipment Identity of IMEI-nummer is een nummer waarmee de identiteit van een smartphone kan worden vastgesteld. Bij aangifte van diefstal vraagt de politie naar dit nummer. Het International Mobile Subscriber Identity of IMSI-nummer is een uniek identificatienummer waarmee providers specifieke netwerkgebruikers kunnen herkennen.
Tot slot heeft de provider ontdekt dat ook de gegevens van nog eens 667.000 klanten zijn gelekt. Dit waren mensen die in het verleden lid waren, of op het punt stonden om lid te worden. Deze komen op de eerder gemelde aantallen. Daarmee komt de teller voorlopig uit op ruim 54,8 miljoen klanten.
T-Mobile zegt dat er vooralsnog geen aanwijzingen zijn dat er betaalgegevens zijn gestolen.
Mis niets! Meld je aan voor onze nieuwsbrief
Altijd op de hoogte van het laatste nieuws, acties en reviews.
Wij respecteren je privacy. Je informatie is veilig en je kunt je altijd gemakkelijk afmelden.
Anton Mous
Privacy en securityredacteur
Politicoloog, historicus, webredacteur, copywriter: Anton is van vele markten thuis. Hij zet zijn schrijftalenten in voor VPNgids.nl om lezers op de hoogte te brengen van de laatste ontwikkelingen op het gebied van cybersecurity en privacy.
Meer artikelen uit de sectie Nieuws
Paralympische Spelen 2024 kijken-ook in het buitenland
28 augustus 2024
Wielrennen: live de Renewi Tour 2024 kijken
28 augustus 2024
Gratis US Open 2024 tennis kijken
26 augustus 2024