Massiver AT&T-Datenverstoß legt nahezu alle Daten seiner Mobilfunkkunden offen

In einem monumentalen Datenleck hat AT&T bekannt gegeben, dass ein kürzlich erfolgter Cyberangriff die Daten fast aller seiner Mobilfunkkunden offengelegt hat. Der Datenleck, der zwischen dem 14. und 25. April 2024 stattfand, führte zum unbefugten Zugriff und zur Exfiltration von Aufzeichnungen über Anrufe und Textinteraktionen der Kunden vom 1. Mai bis 31. Oktober 2022 und 2. Januar 2023.

In einem SEC-Antrag stellte AT&T klar, dass die kompromittierten Daten weder den Inhalt von Anrufen oder Textnachrichten noch persönliche Informationen wie Sozialversicherungsnummern oder Geburtsdaten enthalten. Der Datendiebstahl betraf jedoch eine Vielzahl von Daten, darunter Telefonnummern und Aufzeichnungen von Gesprächsdauern. Bei einer Teilmenge der Aufzeichnungen wurden auch die Identifikationsnummern von Mobilfunkstandorten offengelegt.

AT&T wies auf die möglichen Auswirkungen auf die Privatsphäre hin und erklärte, dass die gestohlenen Daten zwar keine direkten persönlichen Identifikatoren aufweisen, aber mit öffentlich verfügbaren Tools abgeglichen werden können, um bestimmte Personen zu identifizieren. Experten warnen, dass diese Daten verwendet werden können, um Anrufmuster zusammenzusetzen und private Interaktionen zu identifizieren. Thomas Richards von der Synopsys Software Integrity Group betonte das Risiko, dass private und geschäftliche Kommunikation offengelegt wird, während Tony Anscombe von ESET das Potenzial für gezielte Angriffe unter Verwendung kombinierter Daten aus anderen Verstößen hervorhob.

Kunden wird geraten, vor Spearphishing und Identitätsdiebstahl wachsam zu sein. Anscombe empfiehlt, alle unerwarteten Nachrichten von bekannten Kontakten über eine andere Kommunikationsmethode zu überprüfen, um ihre Legitimität sicherzustellen.

Trotz des Verstoßes teilte AT&T der SEC mit, dass der Vorfall keine wesentlichen Auswirkungen auf den Betrieb oder die finanzielle Lage des Unternehmens gehabt habe. Das Unternehmen hat rund 115 Millionen Mobilfunkkunden.

Der Verstoß steht im Zusammenhang mit einer Reihe von Angriffen auf die Snowflake-Cloud-Plattform . Laut Mandiant nutzte die Angreifergruppe UNC5537 gestohlene Anmeldeinformationen aus Infostealer-Malware, um mehrere Snowflake-Instanzen zu kompromittieren . AT&T bestätigte, dass die gestohlenen Daten illegal von einem Arbeitsbereich auf einer Cloud-Plattform eines Drittanbieters heruntergeladen wurden. Obwohl die Daten vermutlich nicht öffentlich verfügbar sind, wurde mindestens ein Verdächtiger festgenommen.

Zu den weiteren prominenten Opfern der Snowflake-Angriffskampagne zählen Ticketmaster, Santander Bank und State Farm. AT&T untersucht den Vorfall weiterhin und verbessert seine Sicherheitsmaßnahmen, um zukünftige Vorfälle zu verhindern.