Mint Mobile a récemment divulgué une violation de données qui a compromis les informations personnelles de ses clients. Mint Mobile a découvert et résolu la violation qui exposait les données des clients que les acteurs malveillants pourraient potentiellement utiliser pour des attaques par échange de carte SIM. Il s’agit de l’un des incidents de sécurité les plus préoccupants pour l’opérateur de téléphonie mobile et ses utilisateurs. Notamment, Mint Mobile ne stocke pas les numéros de carte de crédit et prétend protéger les mots de passe avec une « technologie cryptographique puissante ».
Dans un e-mail envoyé aux clients intitulé « Informations importantes concernant votre compte », Mint Mobile a informé les utilisateurs de l’incident de sécurité, déclarant qu’un acteur non autorisé avait obtenu des types limités d’informations client. Les données exposées comprennent les noms des clients, les numéros de téléphone, les adresses e-mail, les numéros de série SIM et les numéros IMEI, ainsi qu’une brève description du plan de service acheté. Même si l’entreprise a assuré ses clients sur la sécurité de leurs numéros de carte de crédit, elle n’a pas explicitement mentionné si les pirates avaient accédé ou non à des mots de passe hachés.
Mint Mobile a déclaré que les clients n’avaient pas besoin de prendre des mesures immédiates en réponse à la nouvelle violation de données.
Les données exposées sont particulièrement inquiétantes car elles contiennent des informations susceptibles de faciliter les attaques par échange de carte SIM. Avec des détails tels que les numéros de série SIM et les numéros IMEI en main, les acteurs malveillants pourraient tenter de transférer le numéro de téléphone d’une personne sur leur appareil, obtenant potentiellement un accès non autorisé aux comptes en ligne. Les pirates utilisent couramment cette technique pour pirater des comptes sur des bourses de crypto-monnaie, où les attaquants exploitent le numéro compromis pour réinitialiser le mot de passe et contourner l’authentification multifacteur.
Mint Mobile a souligné que les clients n’ont pas besoin de prendre de mesures immédiates en réponse à la violation de données. Cependant, la société a mis en place un numéro de support client dédié (949-704-1162) pour répondre à toute question ou préoccupation liée à l’incident. Un modérateur de Mint Reddit a confirmé la légitimité de la communication, assurant aux utilisateurs que la société a fourni le numéro du service client spécifiquement pour traiter les demandes concernant la récente violation de données.
Bien que Mint Mobile n’ait pas divulgué les détails de la manière dont la violation s’est produite, des rapports de juillet 2023 suggèrent qu’un acteur malveillant a tenté de vendre des données sur un forum de piratage, affirmant qu’elles avaient été volées à Mint Mobile et Ultra Mobile. Les données incluraient les quatre derniers chiffres des cartes de crédit des clients. On ne sait toujours pas si cet incident est lié à la violation récemment révélée.
Ce n’est pas la première fois que Mint Mobile est confronté à de tels problèmes de sécurité. En 2021, l’entreprise a été victime d’une violation de données au cours de laquelle une personne non autorisée a accédé aux informations de compte des abonnés et a transféré les numéros de téléphone vers un autre opérateur. De plus, la société mère de Mint Mobile, T-Mobile, a été confrontée à d’importantes violations de données en janvier et mai 2023, affectant des millions de comptes. Alors que Mint Mobile aborde ce dernier incident, il souligne les menaces persistantes auxquelles sont confrontées les entreprises du secteur des télécommunications et l’importance de mesures de cybersécurité robustes.
