Une violation massive des données d'AT&T expose presque toutes les données des clients sans fil

Dans une violation monumentale, AT&T a révélé qu'une récente cyberattaque a exposé les dossiers de presque tous ses clients sans fil. La violation, qui s'est produite entre le 14 et le 25 avril 2024, a entraîné l'accès non autorisé et l'exfiltration des enregistrements d'appels et d'interactions SMS des clients remontant du 1er mai au 31 octobre 2022 et au 2 janvier 2023.

Dans un dossier déposé auprès de la SEC, AT&T a précisé que les données compromises n'incluent pas le contenu des appels ou des SMS, ni ne contiennent d'informations personnelles telles que les numéros de sécurité sociale ou les dates de naissance. Cependant, la violation a affecté un large éventail de données, notamment les numéros de téléphone et les enregistrements de durées d'appel. Pour un sous-ensemble d’enregistrements, les numéros d’identification des sites cellulaires ont également été exposés.

AT&T a souligné les implications potentielles sur la vie privée, déclarant que même si les données volées ne disposent pas d'identifiants personnels directs, elles peuvent être recoupées avec des outils accessibles au public pour identifier des individus spécifiques. Les experts préviennent que ces données peuvent être utilisées pour reconstituer les modèles d’appels et identifier les interactions privées. Thomas Richards de Synopsys Software Integrity Group a souligné le risque d'exposition des communications privées et professionnelles, tandis que Tony Anscombe d'ESET a souligné le potentiel d'attaques ciblées utilisant des données combinées provenant d'autres violations.

Il est conseillé aux clients d'être vigilants contre les tentatives de spearphishing et d'usurpation d'identité. Anscombe recommande de vérifier tout message inattendu provenant de contacts connus via une méthode de communication différente pour garantir leur légitimité.

Malgré la violation, AT&T a signalé à la SEC que l'incident n'avait pas eu d'impact significatif sur ses opérations ou sa situation financière. L'entreprise compte environ 115 millions de clients sans fil.

La violation a été liée à une série d'attaques sur la plateforme cloud Snowflake . Selon Mandiant, le groupe d'attaquants UNC5537 a exploité les informations d'identification volées par un logiciel malveillant infostealer pour compromettre plusieurs instances de Snowflake . AT&T a confirmé que les données volées ont été téléchargées illégalement à partir d'un espace de travail sur une plate-forme cloud tierce, et bien que les données ne soient pas considérées comme accessibles au public, au moins un suspect a été appréhendé.

Parmi les autres victimes très médiatisées de la campagne d'attaque Snowflake figurent Ticketmaster, Santander Bank et State Farm. AT&T continue d'enquêter sur la violation et de renforcer ses mesures de sécurité pour prévenir de futurs incidents.