Mint Mobile heeft onlangs een datalek bekendgemaakt waarbij de persoonlijke gegevens van haar klanten in gevaar zijn gekomen. Mint Mobile ontdekte en loste de inbreuk op waarbij klantgegevens openbaar werden gemaakt die bedreigingsactoren mogelijk zouden kunnen gebruiken voor SIM-swap-aanvallen. Het is een van de meest zorgwekkende beveiligingsincidenten voor de mobiele provider en zijn gebruikers. Mint Mobile slaat met name geen creditcardnummers op en beweert wachtwoorden te beschermen met “sterke cryptografische technologie”.
In een e-mail gestuurd naar klanten met de titel ‘Belangrijke informatie over uw account’ informeerde Mint Mobile gebruikers over het beveiligingsincident, waarin stond dat een ongeautoriseerde actor beperkte soorten klantinformatie had verkregen. De openbaar gemaakte gegevens omvatten de namen van klanten, telefoonnummers, e-mailadressen, SIM-serienummers en IMEI-nummers, samen met een korte beschrijving van het aangeschafte serviceabonnement. Hoewel het bedrijf klanten verzekerde van de veiligheid van hun creditcardnummers, vermeldde het niet expliciet of de hackers toegang hadden tot gehashte wachtwoorden of niet.
Mint Mobile zei dat klanten niet onmiddellijk actie hoeven te ondernemen als reactie op het nieuwe datalek
De blootgestelde gegevens zijn bijzonder zorgwekkend omdat ze informatie bevatten die SIM-swap-aanvallen kunnen vergemakkelijken. Met details zoals SIM-serienummers en IMEI-nummers in de hand kunnen bedreigingsactoren proberen het telefoonnummer van een persoon over te zetten naar hun apparaat, waardoor ze mogelijk ongeautoriseerde toegang krijgen tot online accounts. Hackers gebruiken deze techniek vaak om accounts op cryptocurrency-uitwisselingen binnen te dringen, waar aanvallers het gecompromitteerde nummer misbruiken om wachtwoordresets uit te voeren en multi-factor authenticatie te omzeilen.
Mint Mobile benadrukte dat klanten geen onmiddellijke actie hoeven te ondernemen naar aanleiding van het datalek. Het bedrijf heeft echter een speciaal klantenondersteuningsnummer opgezet (949-704-1162) om eventuele vragen of zorgen met betrekking tot het incident te beantwoorden. Een moderator van Mint Reddit bevestigde de legitimiteit van de communicatie en verzekerde gebruikers dat het bedrijf het klantenservicenummer specifiek heeft verstrekt om vragen over het recente datalek af te handelen.
Hoewel Mint Mobile de details van de manier waarop de inbreuk plaatsvond niet openbaar maakte, suggereerden rapporten uit juli 2023 dat een bedreigingsacteur probeerde gegevens te verkopen op een hackforum en beweerde dat deze waren gestolen van Mint Mobile en Ultra Mobile. De gegevens zouden de laatste vier cijfers van de creditcards van klanten bevatten. Het blijft onduidelijk of dit incident verband houdt met de onlangs bekendgemaakte inbreuk.
Dit is niet de eerste keer dat Mint Mobile met dergelijke beveiligingsuitdagingen wordt geconfronteerd. In 2021 kreeg het bedrijf te maken met een datalek waarbij een ongeautoriseerde persoon toegang kreeg tot de accountgegevens van abonnees en telefoonnummers overzette naar een andere provider. Bovendien werd het moederbedrijf van Mint Mobile, T-Mobile, in januari en mei 2023 geconfronteerd met aanzienlijke datalekken, die gevolgen hadden voor miljoenen accounts. Terwijl Mint Mobile dit laatste incident aanpakt, onderstreept het de voortdurende bedreigingen waarmee bedrijven in de telecommunicatiesector worden geconfronteerd en het belang van robuuste cyberbeveiligingsmaatregelen.
