T-Mobile sufrió otra violación de datos, esta vez llevada a cabo por jóvenes hackers que formaban parte del grupo LAPSUS$. Aunque T-Mobile ha dicho que no se ha visto comprometida ninguna información de clientes o del gobierno, parece que LAPSUS$ obtuvo acceso a los repositorios de código fuente de T-Mobile junto con su sistema de gestión de cuentas de clientes.
Según Krebs on Security (vÃa TechCrunch), los mensajes filtrados entre los miembros del grupo de ciberdelincuentes LAPSUS$ muestran que lograron hackear T-Mobile varias veces el mes pasado.
Los hackers obtuvieron acceso a los sistemas internos de T-Mobile haciéndose con múltiples cuentas de empleados con compras a través de sitios como "Russian Market", ingenierÃa social y otros métodos para robar la información.
Los mensajes revelan que cada vez que se cortaba el acceso a la cuenta de un empleado de T-Mobile (ya sea porque el empleado intentaba conectarse o cambiar su contraseña) simplemente encontraban o compraban otro conjunto de credenciales VPN de T-Mobile. T-Mobile tiene actualmente unos 75.000 empleados en todo el mundo.
Los chats y capturas de pantalla de LAPSUS$ muestran que hackearon el sistema de gestión de clientes Atlas de T-Mobile el 19 de marzo y buscaron "cuentas asociadas al FBI y al Departamento de Defensa". Pero resultó que LAPSUS$ no tenÃa las credenciales adicionales para acceder a esa información.
Mientras que algunos de los miembros de LAPSUS$ "querÃan desesperadamente intercambiar SIM por dinero a algunos objetivos ricos", su lÃder de 17 años, "White", decidió desechar el acceso VPN al sistema Atlas y pasó a explorar las cuentas Bitbucket y Slack de T-Mobile.
Unas 12 horas más tarde, "White" compartió capturas de pantalla que mostraban que un script creado por él habÃa descargado más de 30.000 repositorios de código fuente de T-Mobile, que incluÃan contenido sobre diversos proyectos de la compañÃa.
En respuesta al hackeo de LAPSUS$, T-Mobile compartió la siguiente declaración a Krebs on Security:
"Hace varias semanas, nuestras herramientas de monitorización detectaron a un actor malintencionado que utilizaba credenciales robadas para acceder a sistemas internos que albergan software de herramientas operativas. Los sistemas a los que se accedió no contenÃan información de clientes o del gobierno u otra información sensible similar y no tenemos pruebas de que el intruso haya podido obtener nada de valor. Nuestros sistemas y procesos funcionaron según lo previsto, la intrusión se cerró rápidamente y las credenciales comprometidas utilizadas quedaron obsoletas".
En cuanto a la razón por la que LAPSUS$ decidió centrarse en el código fuente de T-Mobile en lugar de realizar intercambios maliciosos de SIM, Krebs on Security cree que podrÃan haber estado buscando mayores fallos de seguridad, que ya tenÃan compradores para el código fuente en fila, o que potencialmente era sólo "una gran competición de Capturar la Bandera".
Los miembros más activos de LAPSUS$ fueron arrestados poco después de la violación de T-Mobile.