T-Mobile遭骇! 200万客户姓名、电邮及加密密码外泄

美国电信业者T-Mobile上周揭露公司网络遭骇，约200万名用户的姓名、电子邮件或账号密码等个资外泄。

T-Mobile的网络安全部门在8月20日一早发现该公司服务器发生事故，“一小部分”用户资料遭非获授权人士复制取走后立即切断网络，并且立即报警。外泄的资料包括姓名、居住地邮递区号、电话号码、电子邮件、账号及账号类别（预付或后付）等。T-Mobile强调用户的财务资讯（如信用卡号）、社会安全号码并未外泄。

T-Mobile表示，来自“国际组织”的骇客透过API存取该公司的服务器，进而窃取了用户个资。但是该组织是网络罪犯或是国家资助的骇客，则尚不得而知。

T-Mobile公告中并未说明有多少资料外泄，不过该公司向Motherboard指出，受影响人数占该公司7700万用户的3%，大约是200万人。T-Mobile也在上周五开始以简讯告知受影响的用户。

值得注意的是，在最初的公告中，T-Mobile表示用户密码也没有外泄。但后来被外部研究人员取得资料，发现其中包含用户密码档，才向Motherboard坦承，密码其实也在外泄资料之列，但是有加密保护。不过媒体经由外部安全研究人员得知，外泄的密码可能是安全度不高的MD5，可以用暴力破解，或是利用密码数据库的大量杂凑以反向工程破解。

T-Mobile首席执行官John Legere 建议使用者最好定期变更账号密码。

这已是T-Mobile最新一次陷入网络安全的麻烦。去年10月有安全研究人员揭露这家电信业者网络上有漏洞，能让骇客轻易查询到用户资料，如电子邮件、信用卡号码，进而用作SIM卡绑架（SIM hijacking或SIM swapping）。今年5月间又被爆该公司员工使用的子网域漏洞，只要在URL输入电话号码即可查到用户姓名、账号或是认证密码等。