Malwarebytesは9月22日(米国時間)、「T-Mobile spills billing information to other customers」において、移動体通信サービスを提供するT-Mobileが他人の請求情報とアカウント情報を流出させたと報じた。

  • T-Mobile spills billing information to other customers

    T-Mobile spills billing information to other customers

Malwarebytesによると、2023年9月20日(米国時間)にT-Mobileの一部ユーザーが自身のアカウントにログインした際に、オンラインダッシュボードに別のユーザーの請求情報とアカウント情報が表示されているのを確認したという。

この件について、T-Mobileはサイバー攻撃を受けたことは否定したが、データ流出があったことは認めたという。流出の原因は100人未満の限られたユーザーアカウント情報を対象に計画された夜間のテクノロジアップデートによる不具合であり、問題はすでに解決されたとしている。

Malwarebytesは、被害にあったユーザーおよび、被害にあった可能性のあるユーザーに対して、次のような予防策を講じることを推奨している。

  • T-Mobileへ問い合わせを行って何が起きたのかを確認し、T-Mobileが提供する具体的なアドバイスに従う
  • パスワードを強力でユニークなものに変更する
  • 二要素認証(2FA: Two-Factor Authentication)を有効にする。可能であればFIDO (Fast IDentity Online)2準拠のハードウェアキーなどを使用する
  • 偽の販売業者に注意する。犯罪者がベンダーを装って連絡してくる可能性がある
  • 落ち着いて行動する。フィッシング攻撃の多くは知り合いの人物や有名人になりすまし、不在配信、アカウントの停止、セキュリティ警告など緊急の対応を求めてくる

Malwarebytesはこの不具合でユーザーの氏名、電話番号、住所、口座残高、クレジットカードの有効期限と下4桁が流出したと分析している。流出の被害にあったユーザーは、今後流出した情報を使った詐欺に警戒するとともに、クレジットカードが不正使用される可能性があるため不正請求を監視し、発見した場合はクレジットカード会社に報告することが推奨されている。