Massivt AT&T-databrud afslører næsten alle trådløse kundedata

I et monumentalt brud har AT&T afsløret, at et nyligt cyberangreb har afsløret registreringerne af næsten alle dets trådløse kunder. Bruddet, som fandt sted mellem den 14. april og den 25. april 2024, resulterede i uautoriseret adgang og udslip af kundeopkalds- og sms-interaktionsregistreringer, der går tilbage til den 1. maj til den 31. oktober 2022 og den 2. januar 2023.

I en SEC-ansøgning præciserede AT&T, at de kompromitterede data ikke inkluderer indholdet af opkald eller sms'er, og de indeholder heller ikke personlige oplysninger såsom CPR-numre eller fødselsdatoer. Bruddet har dog påvirket en lang række data, herunder telefonnumre og registreringer af opkaldsvarigheder. For en undergruppe af optegnelser blev cellestedets identifikationsnumre også afsløret.

AT&T bemærkede de potentielle konsekvenser for privatlivets fred og udtalte, at selvom de stjålne data mangler direkte personlige identifikatorer, kan de krydshenvises til offentligt tilgængelige værktøjer til at identificere specifikke individer. Eksperter advarer om, at disse data kan bruges til at sammensætte opkaldsmønstre og identificere private interaktioner. Thomas Richards fra Synopsys Software Integrity Group fremhævede risikoen for, at privat og virksomhedskommunikation bliver afsløret, mens Tony Anscombe fra ESET understregede potentialet for målrettede angreb ved hjælp af kombinerede data fra andre brud.

Kunder rådes til at være på vagt over for spearphishing og forsøg på identitetstyveri. Anscombe anbefaler at verificere eventuelle uventede beskeder fra kendte kontakter gennem en anden kommunikationsmetode for at sikre deres legitimitet.

På trods af bruddet rapporterede AT&T til SEC, at hændelsen ikke har påvirket dets drift eller økonomiske situation væsentligt. Virksomheden har omkring 115 millioner trådløse kunder.

Bruddet er blevet forbundet med en række angreb på Snowflake-skyplatformen . Ifølge Mandiant udnyttede angribergruppen UNC5537 stjålne legitimationsoplysninger fra infostealer-malware til at kompromittere flere Snowflake-forekomster . AT&T bekræftede, at de stjålne data blev ulovligt downloadet fra et arbejdsområde på en tredjeparts cloud-platform, og selvom dataene ikke menes at være offentligt tilgængelige, er mindst én mistænkt blevet pågrebet.

Andre højprofilerede ofre for Snowflake-angrebskampagnen inkluderer Ticketmaster, Santander Bank og State Farm. AT&T fortsætter med at undersøge bruddet og forbedre sine sikkerhedsforanstaltninger for at forhindre fremtidige hændelser.