Des voleurs volent les enregistrements téléphoniques et SMS de presque tous les clients d’AT&T – Krebs on Security

Société AT&T AT&T a révélé aujourd’hui une nouvelle violation de données qui a révélé les enregistrements d’appels téléphoniques et de SMS d’environ 110 millions de personnes, soit la quasi-totalité de ses clients. AT&T a déclaré avoir retardé la divulgation de l’incident en réponse à des « préoccupations en matière de sécurité nationale et de sécurité publique », notant que certains des enregistrements contenaient des données qui pourraient être utilisées pour déterminer où l’appel ou le message texte avait été passé. AT&T a également reconnu que les enregistrements des clients étaient exposés dans une base de données cloud protégée uniquement par un nom d’utilisateur et un mot de passe (aucune authentification multifacteur requise).

dans Dossier réglementaire Avec le Commission américaine des valeurs mobilières et des changes Les pirates ont eu accès à l’espace de travail d’AT&T sur une plate-forme cloud tierce en avril et ont téléchargé des fichiers contenant des appels de clients et des interactions par SMS entre le 1er mai et le 31 octobre 2022, ainsi que le 2 janvier 2023, a annoncé aujourd’hui AT&T.

La société a déclaré que les données volées comprennent les journaux d’appels et les messages texte des fournisseurs de téléphonie mobile qui revendent le service AT&T, mais n’incluent pas le contenu des appels ou des messages texte, les numéros de sécurité sociale, les dates de naissance ou toute autre information personnelle.

Cependant, la société a déclaré qu’un sous-ensemble des enregistrements volés comprenait des informations sur l’emplacement des tours de téléphonie cellulaire les plus proches de l’abonné, des données qui pourraient être utilisées pour déterminer l’emplacement approximatif de l’appareil du client qui initie ou reçoit ces messages texte ou appels téléphoniques.

« Bien que les données n’incluent pas les noms des clients, il existe souvent des moyens, en utilisant des outils en ligne accessibles au public, de trouver le nom associé à un numéro de téléphone particulier », a déclaré AT&T.

AT&T a déclaré avoir eu connaissance du piratage le 19 avril, mais avoir retardé la divulgation à la demande des enquêteurs fédéraux. Le dossier déposé par la société auprès de la Securities and Exchange Commission indique que les autorités ont arrêté au moins une personne en lien avec le piratage.

Dans une déclaration écrite partagée avec KrebsOnSecurity, le FBI a confirmé avoir demandé à AT&T de retarder la notification des clients concernés.

« Peu de temps après avoir identifié une violation potentielle des données d’un client et avant de déterminer son importance, AT&T a contacté le FBI pour signaler l’incident », indique le communiqué du FBI. « En évaluant la nature de la violation, toutes les parties ont discuté d’un retard potentiel dans la déclaration publique en vertu de la section 1.05(c) de la règle de la SEC, en raison de risques potentiels pour la sécurité nationale et/ou la sécurité publique d’AT&T, du FBI et du ministère. Le ministère de la Justice a travaillé en collaboration tout au long du premier et du deuxième retard, tout en partageant des renseignements clés sur les menaces pour renforcer les droits d’enquête du FBI et aider le travail de réponse aux incidents d’AT&T.

TechCrunch Le Daily Telegraph a cité un porte-parole d’AT&T disant que les données des clients avaient été volées à la suite d’une violation de données toujours en cours et qui concerne plus de 160 clients du fournisseur de données cloud. Flocon de neige.

Plus tôt cette année, des pirates malveillants ont découvert que plusieurs grandes entreprises avaient téléchargé des quantités massives de données clients précieuses et sensibles sur les serveurs Snowflake, tout en protégeant ces comptes Snowflake avec simplement un nom d’utilisateur et un mot de passe.

Filaire signalé Le mois dernier, les pirates à l’origine du vol de données Snowflake ont pu acheter des informations d’identification Snowflake volées auprès de services du Dark Web qui vendent l’accès à des noms d’utilisateur, des mots de passe et des jetons d’authentification qui sont ensuite siphonnés par des logiciels malveillants voleurs d’informations. De son côté, Snowflake affirme qu’il exige désormais que tous les nouveaux clients utilisent l’authentification multifacteur.

Parmi les autres sociétés qui ont volé des millions de dossiers clients sur les serveurs Snowflake figurent Pièces automobiles avancées, Allstate, Anheuser-Busch, Los Angeles Unifié, Mitsubishi, Neiman Marcus, graduel, Stockage pur, Banque de Santander, Ferme d’ÉtatEt Maître des billets.

Plus tôt cette année, AT&T a annoncé Réinitialiser les mots de passe de millions de clients Après que la société a finalement admis une violation de données en 2018 impliquant environ 7,6 millions de titulaires de comptes AT&T actuels et environ 65,4 millions d’anciens titulaires de comptes.

Marc Burnett Il est ingénieur en sécurité des applications, consultant et auteur. La seule véritable utilisation des données volées lors du dernier piratage d’AT&T est de voir qui appelle qui et à quelle fréquence, a déclaré Burnett.

« Ce qui me dérange le plus à propos du fait qu’AT&T viole tous les journaux d’appels et de SMS de ses clients, c’est qu’il ne s’agit pas de l’une de leurs principales bases de données ; il s’agit de métadonnées sur qui appelle qui », a déclaré Burnett. livres Sur Mastodonte. « Ce qui m’amène à me demander à quoi servent les journaux d’appels qui ne contiennent ni horodatage ni nom. »

On ne sait toujours pas pourquoi tant de grandes entreprises persistent à croire qu’il est acceptable de stocker autant de données clients sensibles avec si peu de protection en matière de sécurité. Par exemple, Advance Auto Parts a déclaré que les données exposées comprenaient des noms complets, des numéros de sécurité sociale, des permis de conduire et des numéros d’identification délivrés par le gouvernement. 2,3 millions de personnes Qui étaient d’anciens employés ou candidats à un emploi.

Cela peut être dû au fait que les entreprises n’assument aucune responsabilité pour leurs pratiques de sécurité bâclées, hormis les recours collectifs qui surviennent généralement après de telles violations. AT&T a informé la Securities and Exchange Commission des États-Unis qu’elle ne pense pas que cet incident soit susceptible d’affecter sensiblement la situation financière ou les résultats d’exploitation d’AT&T. AT&T a déclaré des revenus supérieurs à 30 milliards de dollars au dernier trimestre de l’année.