Les pirates ont de nouveau trouvé leur chemin dans les systèmes de T-Mobile, la quatrième violation signalée des données de l'entreprise depuis le début de 2020. Cette fois, le transport comprenait des informations personnelles sensibles associées à environ 48 millions de personnes, dont la plupart étaient d'anciens clients ou des clients potentiels du autoproclamé "non-porteur".

Voici un aperçu de ce qui s'est passé, des risques auxquels vous pourriez être confronté et de la manière dont vous pouvez vous en protéger.

Quelles informations ont été prises ?

Selon la société, les données volées comprenaient des noms, des dates de naissance, des numéros de sécurité sociale et des informations sur le permis de conduire. Dans la plupart des cas, la société a déclaré qu'"aucun numéro de téléphone, numéro de compte, [numéro d'identification personnel], mot de passe ou information financière n'a été compromis". Cependant, quelque 850 000 clients disposant de comptes prépayés ont vu leurs noms, numéros de téléphone et codes PIN de compte exposés, a révélé T-Mobile.

Les pirates ont commencé à proposer les données à la vente le week-end dernier, selon le chercheur en sécurité Brian Krebs, qui a prédit que tout se retrouverait bientôt en ligne.

Bien que le nombre potentiel de personnes concernées soit énorme, selon le décompte de T-Mobile, il représente moins de la moitié des 105 millions de clients actuels de l'entreprise. T-Mobile a déclaré qu'il informera les clients dont les données ont été exposées et fournira gratuitement deux ans de service de protection contre le vol d'identité auprès de la société de sécurité McAfee.

Quels sont les risques ?

Il y a eu tellement de violations de données dans tant d'entreprises au fil des ans que certains experts en sécurité affirment qu'une grande partie des informations exposées par T-Mobile est probablement déjà disponible sur le dark web. Mais cela ne signifie pas que vous devriez simplement ignorer ce qui s'est passé. Ceux dont les données ont été exposées courent de plus grands risques d'usurpation d'identité, d'escroqueries par hameçonnage et d'autres formes de fraude, a averti Krebs.

Les numéros de sécurité sociale sont largement utilisés par le gouvernement fédéral, les banques, les sociétés d'investissement, les programmes de prestations du gouvernement et les assureurs pour vérifier l'identité. Votre SSN volé peut être utilisé pour ouvrir des comptes de carte de crédit frauduleux, détourner ou collecter frauduleusement des avantages et commettre une fraude sur le lieu de travail, entre autres formes de tromperie. Ajoutez votre nom, votre date de naissance et votre numéro de permis de conduire, et il est exponentiellement plus facile pour quelqu'un de se faire passer pour vous.

Les voleurs d'identité pourraient utiliser ces informations pour vous cibler ainsi que les banques, les assureurs et d'autres entreprises avec lesquelles vous faites affaire. Par exemple, ils pourraient l'utiliser pour rendre les e-mails de phishing plus réalistes, en vous aidant à vous persuader de donner des informations sensibles supplémentaires telles qu'un mot de passe ou un code PIN. Ou ils pourraient l'utiliser pour duper votre banque afin qu'elle change le mot de passe de votre compte, lui donnant ainsi accès à votre argent.

Pour ceux dont les numéros de téléphone ont également été exposés, il existe au moins une autre possibilité maligne :une attaque par échange de carte SIM. C'est là que quelqu'un persuade votre opérateur de téléphonie mobile de transférer votre numéro sur un autre appareil, qu'il utilise ensuite pour tenter de pénétrer dans les comptes que vous avez liés à votre numéro de téléphone. Il est de plus en plus courant que les gens utilisent leur numéro de mobile pour vérifier leur identité, par exemple lorsqu'ils se connectent à leur compte bancaire en ligne ou lorsqu'ils souhaitent réinitialiser leur mot de passe. Mais cette commodité peut se retourner contre vous si votre numéro est piraté, puis utilisé pour se faire passer pour vous en ligne.

Comment vous protégez-vous ?

La meilleure chose à faire est de geler vos dossiers de crédit, ce qui empêchera quiconque d'ouvrir un nouveau compte. Il est libre de placer un congélateur et de le soulever pour vos propres besoins. Mais vous devez contacter chacun des trois principaux bureaux de crédit individuellement, ce que vous pouvez faire en ligne. Krebs suggère également de geler les dossiers de crédit conservés par une poignée de petites agences spécialisées. Vous devez également vérifier régulièrement votre pointage de crédit, ce qui est un bon moyen de détecter la fraude après qu'elle se soit produite.

Les services de surveillance du crédit et de l'identité, qui entraînent généralement des frais mensuels, peuvent également aider à révéler le travail des voleurs d'identité. Ils fournissent des outils pour vous empêcher de faire du phishing et d'autres formes de piratage combinés à des services d'analyse qui recherchent votre numéro de sécurité sociale ou votre adresse e-mail dans des endroits en ligne auxquels il n'appartient pas.

Pendant ce temps, T-Mobile a mis en place un site Web suggérant d'autres mesures que les gens peuvent prendre pour se prémunir contre la fraude. N'importe qui avec un smartphone serait avisé de les prendre :

• Créez un code PIN pour votre compte de téléphonie mobile afin de fournir une couche de sécurité supplémentaire contre les modifications non autorisées de votre compte, telles qu'un échange de carte SIM malveillant. Si vous êtes un client T-Mobile et que vous avez un code PIN, définissez-en un nouveau.
• Activez la fonction de "protection contre la prise de contrôle de compte" de T-Mobile, qui offre une couche de protection supplémentaire en plus du code PIN. Verizon va plus loin en bloquant automatiquement les échanges de carte SIM en fermant à la fois le nouvel appareil et l'existant jusqu'à ce que le titulaire du compte intervienne avec l'appareil existant.
• Modifiez le mot de passe que vous utilisez pour accéder à votre compte de téléphone mobile en ligne. Changer périodiquement de mot de passe est une bonne pratique pour tous vos comptes. Et si vous avez du mal à vous souvenir de dizaines de mots de passe, essayez une application de gestion de mots de passe qui peut les suivre pour vous.

Du côté positif, l'authentification à deux facteurs devient la norme en ligne, ce qui améliore la sécurité sur le Web. Mais trop de sites vous encouragent à faire de ce deuxième facteur un SMS à votre numéro de téléphone, ce qui encourage la fraude par échange de carte SIM. Dans la mesure du possible, utilisez plutôt une application d'authentification.