In der an das Büro des Generalstaatsanwalts von Maine gesendeten Meldung war als Zahl der Betroffenen lediglich „1" angegeben. SecurityWeek weist darauf hin, dass Unternehmen die „1" gelegentlich als Platzhalter verwenden, solange die endgültige Zahl der betroffenen Personen noch nicht feststeht.

Hinzu kam, dass die Beschreibung in der Meldung als Hinweis auf einen massenhaften Credential-Stuffing-Angriff auf T-Mobile-Konten gelesen werden konnte. Bei Credential-Stuffing-Angriffen nutzen Angreifer Zugangsdaten, die bei anderen Datenlecks erbeutet wurden, um Konten anzugreifen, die mit derselben Kombination aus Benutzername und Passwort geschützt sind.

T-Mobile widersprach dieser Deutung gegenüber SecurityWeek. „Wir haben einen isolierten Vorfall identifiziert, bei dem ein einzelner Mitarbeiter eines Dienstleisters unberechtigt auf Informationen zu einem Kunden zugegriffen hat. Es wurden keine Zugangsdaten kompromittiert", erklärte ein Sprecher des Unternehmens.

„Wir haben die zuständigen Behörden im Einklang mit den geltenden Meldepflichten benachrichtigt. Außerdem haben wir die Strafverfolgungsbehörden informiert und den betroffenen Kunden direkt kontaktiert", fügte der Sprecher hinzu.

T-Mobile hat in den vergangenen Jahren mehrere bedeutende Datenlecks offengelegt, darunter eines, von dem 37 Millionen Konten betroffen waren.