O całym zajściu mogliśmy dowiedzieć się za sprawą oficjalnego oświadczenia, jakie firma T-Mobile zamieściła na swojej stronie internetowej:
Z treści wypowiedzi wynika, że choć nieuprawniony dostęp do serwerów T-Mobile rzeczywiście miał miejsce, to firma nie ustaliła jeszcze, czy dane jej klientów zostały wykradzione.
Niestety, jak informuje portal Vice, nielegalnie pozyskane dane ponad 30 milionów klientów T-Mobile zostały wystawione na sprzedaż na cyberprzestępczym forum Raidforums:
Punktem zaczepienia miał być źle skonfigurowany węzeł wsparcia bramy GPRS:
The person who claims to have compromised T-Mobile says the company misconfigured a gateway GPRS support node that was apparently used for testing. It was exposed to the internet. That allowed the person to eventually pivot to the LAN. Proof screenshot supplied. pic.twitter.com/tBMvRBmG0r
Następnie atakujący przy użyciu metody brute force byli w stanie zalogować się na ponad 100 serwerów, należących do T-Mobile:
Eventually, the person says they were able to brute force/credential stuff SSH on more than 100+ servers, some Oracle. No rate limiting on those servers because they're internal, person says. Person is based in Belarus.
Kot prezesa pijący piwo i oglądający filmy z kotami
25 sierpnia, 2021 | 11:26 am
Ciekawe dlaczego nie zaimplementowano w SSH metody zapobiegającej odgadywania haseł polegającej na wydłużaniu czasu logowania po każdej nieudanej próbie.
Jeśli się nie mylę SSRF przez GPRS dał dostęp do lana i nie zaimplementowano warstwy obronnej lokalnie co jest dość częste jeśli chodzi o brak zabezpieczeń wewnętrznych.
Ciekawe dlaczego nie zaimplementowano w SSH metody zapobiegającej odgadywania haseł polegającej na wydłużaniu czasu logowania po każdej nieudanej próbie.
Jeśli się nie mylę SSRF przez GPRS dał dostęp do lana i nie zaimplementowano warstwy obronnej lokalnie co jest dość częste jeśli chodzi o brak zabezpieczeń wewnętrznych.