Geavanceerd is de hack van T-Mobile USA zeker niet

T-Mobile USA heeft een groot probleem nu details over de hack en diefstal van 54 miljoen klantgegevens met de pers zijn gedeeld.

Hack T-Mobile USA

Al twee weken raakt de Amerikaanse pers niet uitgesproken over de hack bij T-Mobile USA. Wat begon als een gerucht dat de gegevens van 100 miljoen klanten te koop werden aangeboden bleek net iets anders. Op dit moment gaat men uit van 54 miljoen records die zijn gekopieerd en her en der zijn beland. Dat het aantal slachtoffers bijna de helft kleiner is maakt het incident niet minder belangrijk.

Toezicht nodig

Veel Amerikaanse tech specialisten zijn nu oprecht boos op het bedrijf. Dat komt in ieder geval omdat het niet de eerste keer is dat T-Mobile USA lek blijkt te zijn. Dit is de vijfde hack in tien jaar tijd. De derde in twee jaar. Het aantal gelekte klantrecords was daarbij nog nooit zo groot. Hardop wordt dan ook de vraag gesteld in de pers (en binnenkort door politici) of dit bedrijf niet onder toezicht moet worden gesteld. Dat de toezichthouder FCC een onderzoek is gestart kan daarvoor het startschot zijn.

Maar er is nog meer aan de hand. We weten inmiddels precies hoe de hack is gegaan. De hacker heeft zijn kennis keurig gedeeld met de pers. Deskundigen houden die route voor waarschijnlijk en zijn vooral verbijsterd.

Domme fouten

T-Mobile USA heeft “ergens” in het netwerk routers openstaan. Daardoor is met mogelijk toegang te krijgen tot een datacenter in Washington. Daar staat een test omgeving van het bedrijf. Lekke routers is een doodzonde, een testomgeving is dat in principe niet. Wat dan wel weer onvoorstelbaar dom is, is dat de testomgeving is gelinkt aan de live omgeving.

Het excuus van de CEO van T-Mobile USA spreekt daarom ook niet meer van state of the art aanvallen of zero-days. Hier zijn twee domme fouten gemaakt die door elke interne specialist opgemerkt had moeten worden.

Ammunitie voor rechtszaken

Door het delen van zijn kennis heeft de hacker klanten en juristen heel veel ammunitie in handen gegeven. Het zal niet lang meer duren of de eerste rechtszaken tegen T-Mobile USA en haar medewerkers zal worden aangespannen.

De toevoeging “medewerkers” is daarbij zeer belangrijk. Bij SolarWinds wordt nu voor het eerste door boze beleggers naast de CEO ook de CISO gedagvaard. Daarover is veel te doen. De hack van T-Mobile USA leent zich ervoor precies het zelfde te doen. Niet alleen de directies zelf, maar ook de verantwoordelijken op hoger niveau aanpakken. Of dat kans van slagen heeft , daarover lopen de meningen uiteen. In ieder geval is het een belangrijk signaal dat gedupeerden het niet meer pikken dat tot nu toe niemand echt verantwoordelijk wordt gesteld voor slechte IT beveiliging.