个人隐私如何保证?美国电信公司Mint Mobile遭黑客攻击 – 作者:中科天齐软件安全中心

Mint Mobile是一家美国电信公司，销售移动电话服务并在美国T-Mobile的蜂窝网络上作为移动网络运营商运营。

近日，Mint Mobile披露了一起数据泄露事件，该事件暴露了订户的帐户信息并将电话号码移植到另一家运营商。

根据上周末发送给受影响订户的数据泄露通知电子邮件，在 6月8日至10日期间，一名黑客在未经授权的情况下将“少量”Mint Mobile 订户的电话号码移植到另一家运营商。

除了移植号码外，Mint Mobile还透露，未经授权的人还可能访问了订阅者的个人信息，包括通话记录、姓名、地址、电子邮件和密码。

Mint Mobile邮件显示：“在2021年6月8日至2021年6月10日之间，包括您在内的极少数Mint Mobile用户的电话号码被临时移植到另一家运营商。”

“虽然我们立即采取措施扭转流程并恢复您的服务，但未经授权的其他个体可能会访问您的某些信息，其中可能包括您的姓名、地址、电话号码、电子邮件地址、密码、账单金额、国际电话详情信息、电话号码、帐号和订阅功能。”

虽然Mint Mobile没有说明黑客如何根据访问的数据获取对订阅者信息的访问权限，但黑客很可能入侵了用户帐户或破坏了用于管理客户的Mint Mobile应用程序。

由于攻击者可能已经获得了部分Mint Mobile密码的访问权限，因此强烈建议用户更改帐户的密码。

此外，威胁行为者可能会使用移植号码进行其他攻击，例如网络钓鱼，或访问通过短信发送的双因素身份验证代码。

今年1月份，另一家美国运营商USCellular披露数据泄露事件，攻击者欺骗员工下载可远程访问公司设备的软件。通过这种远程访问，黑客使用客户关系管理 (CRM) 软件访问订户的个人信息并移植他们的号码，此次事件由于安全漏洞导致。

保障数据安全已成网络安全重点工作

除了给企业造成困扰，数据泄露问题已经成为国家重点关注问题。随着智慧城市的建设及数字中国的发展，越来越多的重要数据集中在政企部门，而保证数据安全问题就尤为重要。在今年9月1日即将实施的《数据安全法》里明确指出，要建立健全数据安全治理体系，提高数据安全保障能力。

同时，在保障数据安全与发展上，国家支持利用数据提升服务和支持，另一方面也大力促进对安全领域的研究。

《数据安全法》第十八条中指出，国家促进数据安全检测评估、认证等服务的发展，支持数据安全检测评估、认证等专业机构依法开展服务活动。国家支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。

加强数据安全保护，不仅需要对数据库等网络环境加强防御，同时也需要对软件系统安全做好检测。软件安全是网络安全最基础的防线，减少软件系统问题可以有效避免遭到那些绕过安全防护的恶意软件攻击，提高应用软件的安全指数。

参读链接：

https://www.woocoom.com/b021.html?id=ee898611001e464cb6c5554d263eeac8

https://www.bleepingcomputer.com/news/security/mint-mobile-hit-by-a-data-breach-after-numbers-ported-data-accessed/

来源：freebuf.com 2021-07-13 10:12:08 by: 中科天齐软件安全中心