T-Mobile a été touché par une autre violation de données. Le deuxième plus grand opérateur de téléphonie mobile du pays a révélé jeudi qu’un “mauvais acteur” avait profité de l’une de ses interfaces de programmation d’applications pour obtenir des données sur “environ 37 millions de comptes clients postpayés et prépayés actuels”.

Dans un Dépôt 8K auprès de la Securities and Exchange Commission des États-Unis, le transporteur affirme avoir été en mesure de retracer et d’arrêter “l’activité malveillante” dans la journée suivant sa découverte. T-Mobile indique également que l’API utilisée ne permet pas d’accéder à “toutes les informations de carte de paiement des clients, les numéros de sécurité sociale/numéros d’identification fiscale, les permis de conduire ou autres numéros d’identification gouvernementaux, les mots de passe/codes PIN ou autres informations sur les comptes financiers”.

Selon le dossier, le transporteur estime que la violation s’est produite pour la première fois “le ou vers” le 25 novembre 2022. Le transporteur n’a appris qu’un “mauvais acteur” recevait des données de ses systèmes que le 5 janvier.

L’API de la société, cependant, a révélé d’autres informations sur les utilisateurs, notamment les noms, les adresses de facturation, les adresses e-mail, les numéros de téléphone et les dates de naissance de ses clients, leurs numéros de compte T-Mobile et des informations sur les fonctionnalités du plan qu’ils ont avec le transporteur et le nombre de lignes sur leurs comptes.

Dans son dossier auprès de la SEC, la société a déclaré que, conformément aux exigences nationales et fédérales, elle avait commencé à informer les clients dont les informations auraient pu être obtenues lors de la violation.

Dans un communiqué de presse accompagnantT-Mobile a apparemment tenté de minimiser le type de données révélées par la violation en notant que certaines de ces “informations client de base” sont “largement disponibles dans les bases de données ou les annuaires marketing”.

Le transporteur a réitéré qu’aucun mot de passe ou donnée financière n’avait été exposé et qu’il n’y avait “pas non plus de preuve que le mauvais acteur a violé ou compromis le réseau ou les systèmes de T-Mobile”.

La nouvelle de la dernière violation de données survient alors que le transporteur est dans les derniers jours de la phase de règlement d’une cyberattaque de 2021 qui a exposé les données d’environ 76,6 millions de personnes. T-Mobile a accepté un règlement de 500 millions de dollars dans l’affaire en juilletavec 350 millions de dollars pour régler les réclamations des clients suite à un recours collectif et 150 millions de dollars pour mettre à niveau son système de protection des données.

La date limite pour déposer une réclamation suite à cette violation de données est le 23 janvier.

On ne sait pas ce qui pourrait arriver à la suite de cette nouvelle violation. Dans le dossier 8-K, le transporteur déclare qu’il “continuera à faire des investissements substantiels pour renforcer notre programme de cybersécurité”, mais note qu’il “pourra également engager des dépenses importantes en rapport avec cet incident”.