Skip to content
Cyber Breaches
Recherche
Fuite de donnéesRésolu

Violation de données de T-Mobile US (Binns)

John Binns, un Américain de 21 ans vivant en Turquie, a affirmé avoir piraté T-Mobile via un routeur GGSN exposé et exfiltré les données personnelles de 76,6 millions de clients actuels, anciens et potentiels.

Victime
T-Mobile US
Perte
$500.0M
données
76.6M
utilisateurs
76.6M
SecteurTélécoms
PaysÉtats-Unis
GroupeJohn Binns (lone actor, self-attributed)ShinyHunters (re-sale market)

En août 2021, John Binns — un citoyen américain de 21 ans vivant en Turquie — a revendiqué la paternité de l'une des plus importantes violations de données du secteur télécoms américain. L'intrusion a exposé les informations personnelles de 76,6 millions de clients actuels, anciens et potentiels de T-Mobile, et Binns a publiquement décrit à la presse sa motivation comme des représailles au traitement infligé par des agences gouvernementales américaines et allemandes.

L'affaire est devenue le cas canonique de l'exposition d'un GGSN et du levier d'un acteur isolé contre une grande infrastructure télécoms.

Ce qui s'est passé

Le vecteur d'entrée était inhabituel : T-Mobile disposait d'un routeur GGSN non authentifié (Gateway GPRS Support Node — l'élément réseau gérant le routage Internet des appareils mobiles) accessible depuis l'Internet public. L'interface de gestion du routeur n'imposait absolument aucune authentification.

Binns, dans son entretien au Wall Street Journal, a décrit avoir balayé l'espace d'adressage IP de T-Mobile à la recherche de services accessibles. Il a trouvé le GGSN vers le 19 juillet 2021, l'a utilisé comme point de pivot vers le réseau interne de T-Mobile et, au cours des 27 jours suivants, a interrogé les bases de données Oracle internes à la recherche d'enregistrements clients.

Les données exfiltrées comprenaient :

  • Pour les clients postpayés actuels et anciens (~7,8 millions) : noms, dates de naissance, numéros de sécurité sociale, numéros de permis de conduire / pièce d'identité.
  • Pour les clients prépayés (~850 000) : noms, numéros de téléphone, codes PIN de compte.
  • Pour les « clients potentiels » (~40 millions) : des personnes ayant soumis des demandes d'évaluation de solvabilité sans jamais devenir abonnées de T-Mobile — noms, dates de naissance, numéros de sécurité sociale et de permis de conduire, tous conservés depuis des évaluations de solvabilité réalisées des années auparavant.
  • Pour l'ensemble (~76,6 millions au total) : les IMEI/IMSI des appareils.

Une annonce criminelle portant sur 30 millions des enregistrements est apparue sur la place de marché Raid Forums le 13 août, au prix de 6 BTC (~270 000 $). L'annonce a fait surface avant que T-Mobile n'ait détecté l'intrusion en interne ; T-Mobile a confirmé publiquement la violation deux jours plus tard.

Auto-révélation

Binns a accordé un entretien remarquable au Wall Street Journal le 26 août 2021, onze jours après la divulgation de T-Mobile. Il a :

  • Décliné son identité par son nom.
  • Indiqué son lieu de résidence actuel : Izmir, Turquie.
  • Qualifié la sécurité de T-Mobile de « lamentable ».
  • Cité le traitement infligé par des agences américaines et allemandes — affirmant avoir été précédemment détenu, prétendument torturé et hospitalisé de force — comme motivation.
  • Déclaré avoir reçu environ 270 000 $ d'intermédiaires pour la revente partielle de données via le groupe ShinyHunters.

Binns est un citoyen américain et n'a pas été arrêté. Il demeure en Turquie ; à la connaissance du public, les États-Unis n'ont pas demandé son extradition. Le statut juridique des poursuites à son encontre est compliqué par sa citoyenneté et par l'absence de voie conventionnelle claire entre les États-Unis et la Turquie en matière de cybercriminalité.

Impact

  • 76,6 millions de clients ont eu leurs informations personnelles exposées, dont ~7,8 millions de clients postpayés actuels/anciens avec des données personnelles complètes, ~40 millions de demandeurs d'évaluation de solvabilité avec numéros de sécurité sociale et de permis de conduire.
  • Règlement de recours collectif de 350 millions de dollars approuvé à titre préliminaire en 2022.
  • Décret de consentement de la FCC de 31,5 millions de dollars (sept. 2024) réparti entre sanction civile et investissement obligatoire en cybersécurité — citant cet incident conjointement avec trois violations T-Mobile ultérieures (abus d'API de 2022, abus d'API de 2023, données personnelles de 2023) dans une seule action répressive.
  • Remédiation, enquête et notification des clients directes : ~200 millions de dollars et plus.
  • Impact sur la marque et l'attrition d'abonnés : difficile à estimer, mais a contribué à un recul mesurable de la satisfaction client de T-Mobile tout au long de 2022.

Schéma récurrent d'incidents chez T-Mobile

La violation de 2021 fut la plus importante d'une séquence continue :

  • 2018 — violation touchant 2 millions de clients.
  • 2019 — violation touchant les clients prépayés.
  • 2020 — violation de comptes de messagerie d'employés.
  • 2021 (cet incident) — 76,6 millions.
  • Janvier 2023 — violation par API touchant 37 millions de clients postpayés.
  • Avril 2023 — violation supplémentaire de données personnelles divulguée.

Le décret de consentement de la FCC de 2024 a traité le schéma cumulatif, et non le seul incident de 2021, comme la violation.

Pourquoi c'est important

T-Mobile 2021 est le cas canonique de la mauvaise configuration d'infrastructure télécoms à grande échelle. Il a établi :

  • Que les routeurs de classe passerelle (GGSN, passerelles de paquets, éléments GTPv2) sont accessibles depuis l'Internet public chez les grands opérateurs télécoms et constituent des points de pivot précieux vers une infrastructure interne plus large. L'erreur de configuration était une exigence d'authentification omise sur un seul appareil ; le rayon d'impact fut de 76 millions d'enregistrements clients.
  • Que la conservation de données personnelles complètes pour les « clients potentiels » ayant soumis une demande d'évaluation de solvabilité représente une responsabilité cachée majeure. T-Mobile avait conservé les numéros de sécurité sociale et de permis de conduire de ~40 millions de personnes n'étant jamais devenues abonnées — une population n'ayant effectivement aucune raison de s'attendre à ce que T-Mobile conserve ses données.
  • Que les violations par acteur isolé à l'échelle des télécoms sont opérationnellement réalisables lorsque le périmètre est mal configuré. Binns n'a eu besoin d'aucune équipe ni d'aucun complice interne ; il a trouvé une porte ouverte et l'a franchie.
  • Que la FCC est devenue un régulateur significatif de la cybersécurité télécoms, le décret de consentement de 2024 marquant une escalade notable par rapport à la posture répressive antérieure de la FCC.

Impact financier

Coûts déclarés en USD

Perte totale déclarée
500.0M
USD · 500 000 000 $US
Rançon demandée
$270.0K
Rançon payée
Refusée
  • Perte d’exploitation$150.0M
  • Remédiation$200.0M
  • Amendes & règlements$150.0M

Chronologie

  1. John Binns identifie un routeur GGSN (Gateway GPRS Support Node) exposé sur l'infrastructure de T-Mobile, accessible depuis l'Internet public sans authentification.

  2. Binns pivote du GGSN vers les bases de données Oracle internes de T-Mobile et exfiltre des enregistrements clients sur environ 27 jours.

  3. Des annonces apparaissent sur un forum criminel proposant 30 millions d'enregistrements clients de T-Mobile (incluant numéros de sécurité sociale, permis de conduire, IMEI) pour 6 BTC (~270 000 $).

  4. T-Mobile confirme publiquement la violation. Portée initiale : 47,8 millions d'enregistrements.

  5. Binns accorde un entretien au Wall Street Journal s'identifiant par son nom et son lieu de résidence (Turquie), qualifiant la sécurité de T-Mobile de « lamentable ».

  6. T-Mobile révise sa divulgation : 54,6 millions de personnes touchées au total. L'enquête se poursuit.

  7. T-Mobile étend de nouveau : 76,6 millions de clients actuels, anciens et potentiels touchés.

  8. Un règlement de recours collectif de 350 millions de dollars est approuvé à titre préliminaire.

  9. T-Mobile US révèle une seconde violation distincte affectant 37 millions de clients postpayés via un abus d'API (janvier 2023).

  10. La FCC inflige à T-Mobile une amende de 15,75 millions de dollars et ordonne un investissement de 15,75 millions de dollars en cybersécurité, citant cet incident ainsi que des incidents T-Mobile ultérieurs.

Sources

  1. t-mobile.comhttps://www.t-mobile.com/news/network/cyberattack-against-tmobile-and-our-customers
  2. wsj.comhttps://www.wsj.com/articles/t-mobile-hacker-who-stole-data-on-50-million-customers-the-carriers-security-is-awful-11629985105
  3. fcc.govhttps://www.fcc.gov/document/fcc-settles-investigations-major-data-breach-tmobile

Incidents liés

Fuite de donnéesRésolu

Fuite de données AT&T (2021)

Un jeu de données datant d'août 2021 — noms, adresses, numéros de téléphone, et numéros de sécurité sociale et dates de naissance chiffrés — a refait surface en mars 2024 et a été diffusé gratuitement, AT&T confirmant finalement que près de 73 millions de clients actuels et anciens étaient concernés.

Victim
AT&T
Records
73.0M
Fuite de donnéesRésolu

Fuite de 533 M d'enregistrements Facebook collectés par scraping

Les données de 533 millions d'utilisateurs Facebook de 106 pays — dont numéros de téléphone, identifiants Facebook, noms complets, localisations, dates de naissance et certaines adresses e-mail — ont été publiées gratuitement sur un forum de piratage de bas niveau. Ces données avaient été collectées via une faille de l'importateur de contacts corrigée par Facebook en 2019.

Victim
Facebook
Loss
$290.0M
Records
533.0M
Fuite de donnéesRésolu

Violation de données SIM de Ho. Mobile

La base de données clients de Ho. Mobile, l'opérateur à bas coût de Vodafone Italie, a été volée et mise en vente sur le dark web — exposant les données personnelles et SIM d'environ 2,5 millions d'abonnés italiens et entraînant un remplacement massif des cartes SIM.

Victim
Ho. Mobile (Vodafone Italie)
Records
2.5M