T-Mobile は受難の年を迎えています。5 月に数人のセキュリティ研究者が、攻撃者による顧客の機密情報の不正取得を可能する恐れのあるオープン API を発見しました。数週間前には、T-Mobile が 8 月 20 日に同社のセキュリティチームが不正ユーザによる T-Mobile のサーバからのデータ取得を発見したと報告したばかりです。現段階で、不正取得の影響を受けたアカウントは 200 万件とされています。T-Mobile の子会社である MetroPCS も影響を受けており、話はこれで終わりではなく、この流出の全容が解明されていない可能性があります。

T-Mobile は当初、金融関連のデータ（クレジットカード番号など）、社会保障番号、またはパスワードは流出していないとし、流出したのは名前、住所、電子メール、電話番号だけだとしていました。ところが、T-Mobile は後に、「暗号化されたパスワード」が不正取得されたと発表しました。当初の発表にこの説明がなかった理由を尋ねたところ、T-Mobile の広報担当者は、平文のパスワードが流出していないためと答えました。暗号化されたパスワードを調査した研究者は、流出したのは単純な MD5 ハッシュであり、簡単に解読できると述べています。また、以前にパスワードが流出したことのある人の電話番号もわかれば、今回と前回の流出の情報を組み合わせて利用される恐れもあります。

今回の流出の方法や発見された経緯に関する情報は公開されていません。T-Mobile の従業員であるとされる、Reddit のあるユーザは、「PIN を追加していなかったアカウント全員が影響を受けた」と述べています。

同じ記事で、何人かのユーザも、自分たちは以前に PIN を設定したことがあると述べています。おそらくは、PIN を設定していなかった（あるいは、ハッカーが PIN と社会保障番号を取得できた）ユーザだけが影響を受けたようです。これが事実だとすると、この流出の発見の経緯やサーバがどのように攻撃されたのかといった情報がもう少し見つかりそうです。

ユーザの電話番号が承認なく別の電話に移行される事件が増えていることから、今回の流出によって、こういった未承認の電話が増える恐れがあります。T-Mobile のアカウントをお持ちの方には、パスワードの変更をお勧めします。T-Mobile は SMS の二要素認証を採用しません。SMS 2FA が最良の方法ではありませんが、トークンベースの 2FA が設定されるまでは、この SMS の方法でアカウントのセキュリティを強化するようお勧めします。

この事件の詳細については、影響を受けた顧客向けの T-Mobile のページ(英文)を参照してください。