T-Mobile in den USA hat eine Datenschutzverletzung bekannt gegeben, nachdem ein Angreifer die persönlichen Daten von 37 Millionen Postpaid- und Prepaid-Kundenkonten über eine Anwendungsprogrammierschnittstellen (APIs) gestohlen hat. Wie das Unternehmen mitteilte, begann der Angreifer Ende November 2022 mit dem Diebstahl von Daten über die betroffene API. Der Mobilfunkanbieter entdeckte die Aktivitäten am 5. Januar 2023 und blockierte ihn.
Das Unternehmen erklärte in einer Verlautbarung, dass die bei diesem Sicherheitsverstoß missbrauchte API es dem Angreifer nicht ermöglichte, Zugang zu den Führerscheinen oder anderen staatlichen ID-Nummern, Sozialversicherungsnummern/Steuer-IDs, Passwörtern/PINs, Zahlungskarteninformationen (PCI) oder anderen finanziellen Kontoinformationen der betroffenen Kunden zu erhalten. Stattdessen wären über die API eine „begrenzte Anzahl von Kundenkontodaten betroffen, darunter Name, Rechnungsadresse, E-Mail-Adresse, Telefonnummer, Geburtsdatum, T-Mobile-Kontonummer und Informationen wie die Anzahl der Leitungen auf dem Konto und Infos zum Tarif“, so T-Mobile.
T-Mobile habe nach eigenen Angaben den Vorfall den US-Bundesbehörden gemeldet und arbeitet nun mit den Strafverfolgungsbehörden zusammen, um den Vorfall zu untersuchen. Dazu werden das Unternehmen auch die Kunden benachrichtigen, deren sensible persönliche Daten durch den Angriff gestohlen wurden. Laut dem Magazin BleepingComputer ist dies seit 2018 der achte IT-Sicherheitsvorfall von T-Mobile USA der bekannt wurde.