T-Mobile a confirmé « l’accès non autorisé » à ses systèmes, quelques jours après qu’une partie des données des clients a été mise en vente sur un forum cybercriminel connu.

Le géant américain de la cellule, qui a conclu l’année dernière une fusion de 26 milliards de dollars avec Sprint, a confirmé une intrusion mais qu’il n’a « pas encore déterminé qu’il y avait des données personnelles sur les clients impliquées ». La société a déclaré que son enquête « prendrait un certain temps », et aucun calendrier n’a été donné.

« Nous sommes convaincus que le point d’entrée utilisé pour accéder a été fermé, et nous poursuivons notre examen technique approfondi de la situation dans nos systèmes pour identifier la nature de toutes les données auxquelles on a accédé illégalement », a déclaré la société.

Vice a rapporté ce week-end que T-Mobile enquêtait sur une éventuelle intrusion après qu’un vendeur prétendait être en possession de millions de disques. Le vendeur a déclaré à Vice qu’il disposait de 100 millions d’enregistrements sur les clients T-Mobile, qui comprenaient les noms de compte client, les numéros de téléphone, les numéros IMEI des téléphones sur le compte et les informations sur le numéro de sécurité sociale et le permis de conduire – des détails que l’entreprise collecte souvent pour vérifier l’identité de ses clients.

Vice a vérifié un échantillon des enregistrements du vendeur, suggérant que les données sont au moins partiellement valides.

Le message du forum, que TechCrunch a vu, demande 6 bitcoins, soit environ 275 000 $, pour un sous-ensemble de 30 millions de données de clients. Les données auraient été obtenues à partir d’un serveur de base de données géré par T-Mobile et connecté à Internet, selon une capture d’écran publiée par Bleeping Computer, qui a également signalé que le vendeur disposait de la base de données IMEI « remontant à 2004 ». Les numéros IMEI et ISMI peuvent être utilisés pour identifier et localiser de manière unique un utilisateur de téléphone portable.

Un article précédent vu par TechCrunch du même vendeur et utilisant le même échantillon de données prétendait avoir 124 millions d’enregistrements, mais ne nommait toujours pas T-Mobile comme source des données. Le message a été supprimé ces derniers jours.

Il s’agit selon nous du cinquième…