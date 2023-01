T-Mobile ist von einem weiteren Datenleck betroffen. Der zweitgrößte Mobilfunkanbieter des Landes gab am Donnerstag bekannt, dass ein „bösartiger Akteur“ eine seiner Anwendungsprogrammierschnittstellen ausgenutzt hat, um Daten über „ungefähr 37 Millionen aktuelle Postpaid- und Prepaid-Kundenkonten“ zu erlangen.

In einer 8K-Einreichung bei der US-Börsenaufsichtsbehörde Securities and Exchange Commission gibt die Fluggesellschaft an, dass sie die „böswilligen Aktivitäten“ innerhalb eines Tages, nachdem sie davon erfahren hatten, verfolgen und stoppen konnte. T-Mobile sagt auch, dass die verwendete API keinen Zugriff auf „alle Kundenzahlungskarteninformationen, Sozialversicherungsnummern/Steuer-IDs, Führerscheine oder andere behördliche ID-Nummern, Passwörter/PINs oder andere Finanzkontoinformationen“ ermöglicht.

Laut der Akte glaubt die Fluggesellschaft, dass der Verstoß erstmals „am oder um den“ 25. November 2022 aufgetreten ist. Die Fluggesellschaft erfuhr erst am 5. Januar, dass ein „bösartiger Akteur“ Daten aus seinen Systemen erhielt.

Die API des Unternehmens enthüllte jedoch andere Benutzerinformationen, darunter Namen, Rechnungsadressen, E-Mail-Adressen, Telefonnummern und Geburtsdaten seiner Kunden, ihre T-Mobile-Kontonummern und Informationen darüber, welche Planfunktionen sie mit dem Netzbetreiber haben und die Anzahl der Zeilen auf ihren Konten.

In seiner SEC-Einreichung sagte das Unternehmen, dass es gemäß den Anforderungen der Bundesstaaten und des Bundes damit begonnen hat, Kunden zu benachrichtigen, deren Informationen möglicherweise während des Verstoßes erlangt wurden.

In einer begleitenden Pressemitteilung versuchte T-Mobile anscheinend, die Art der Daten, die bei der Verletzung offengelegt wurden, herunterzuspielen, indem es feststellte, dass einige dieser Art von „grundlegenden Kundeninformationen“ „in Marketingdatenbanken oder -verzeichnissen weit verbreitet“ seien.

Die Fluggesellschaft wiederholte, dass keine Passwörter oder Finanzdaten offengelegt worden seien und dass es „auch keine Beweise dafür gebe, dass der schlechte Akteur das Netzwerk oder die Systeme von T-Mobile verletzt oder kompromittiert hat“.

Die Nachricht von der jüngsten Datenschutzverletzung kommt, als sich die Fluggesellschaft in den letzten Tagen der Abwicklungsphase eines Cyberangriffs im Jahr 2021 befindet, bei dem die Daten von rund 76,6 Millionen Menschen offengelegt wurden. T-Mobile stimmte zu eine Einigung in Höhe von 500 Millionen US-Dollar in dem Fall im Juliwobei 350 Millionen US-Dollar für die Beilegung von Kundenansprüchen aus einer Sammelklage und 150 Millionen US-Dollar für die Aktualisierung des Datenschutzsystems verwendet werden.

Die Frist für einen Anspruch aus dieser Datenschutzverletzung geltend zu machen ist der 23. Januar.

Es ist unklar, was als Folge dieses neuesten Verstoßes passieren könnte. In der 8-K-Anmeldung sagt die Fluggesellschaft, dass sie „weiterhin erhebliche Investitionen tätigen wird, um unser Cybersicherheitsprogramm zu stärken“, merkt aber an, dass ihr auch „erhebliche Kosten im Zusammenhang mit diesem Vorfall entstehen könnten“.