Massale datalek bij AT&T legt bijna alle draadloze klantgegevens bloot

In een monumentale inbreuk heeft AT&T onthuld dat een recente cyberaanval de gegevens van bijna al zijn draadloze klanten heeft blootgelegd. De inbreuk, die plaatsvond tussen 14 april en 25 april 2024, resulteerde in de ongeoorloofde toegang en exfiltratie van gegevens over telefoongesprekken en sms-interacties van klanten die dateren van 1 mei tot en met 31 oktober 2022 en 2 januari 2023.

In een SEC-aanvraag verduidelijkte AT&T dat de gecompromitteerde gegevens niet de inhoud van oproepen of sms-berichten bevatten, en ook geen persoonlijke informatie bevatten, zoals burgerservicenummers of geboortedata. De inbreuk heeft echter gevolgen gehad voor een breed scala aan gegevens, waaronder telefoonnummers en registraties van gespreksduur. Voor een subset van records werden ook identificatienummers van de cellocatie openbaar gemaakt.

AT&T wees op de mogelijke implicaties voor de privacy en stelde dat hoewel de gestolen gegevens geen directe persoonlijke identificatiemiddelen bevatten, er wel kruisverwijzingen naar openbaar beschikbare hulpmiddelen mogelijk zijn om specifieke personen te identificeren. Deskundigen waarschuwen dat deze gegevens kunnen worden gebruikt om belpatronen samen te stellen en privé-interacties te identificeren. Thomas Richards van Synopsys Software Integrity Group benadrukte het risico dat privé- en zakelijke communicatie aan het licht komt, terwijl Tony Anscombe van ESET de nadruk legde op het potentieel voor gerichte aanvallen met behulp van gecombineerde gegevens van andere inbreuken.

Klanten wordt geadviseerd waakzaam te zijn tegen pogingen tot spearphishing en identiteitsdiefstal. Anscombe raadt aan om onverwachte berichten van bekende contacten via een andere communicatiemethode te verifiëren om hun legitimiteit te garanderen.

Ondanks de inbreuk rapporteerde AT&T aan de SEC dat het incident geen materiële impact heeft gehad op zijn activiteiten of financiële toestand. Het bedrijf heeft ongeveer 115 miljoen draadloze klanten.

De inbreuk is in verband gebracht met een reeks aanvallen op het Snowflake-cloudplatform . Volgens Mandiant heeft de aanvallersgroep UNC5537 misbruik gemaakt van gestolen inloggegevens van infostealer-malware om meerdere Snowflake-instanties in gevaar te brengen . AT&T bevestigde dat de gestolen gegevens illegaal zijn gedownload van een werkruimte op een cloudplatform van derden, en hoewel wordt aangenomen dat de gegevens niet openbaar beschikbaar zijn, is er ten minste één verdachte aangehouden.

Andere spraakmakende slachtoffers van de Snowflake-aanvalscampagne zijn onder meer Ticketmaster, Santander Bank en State Farm. AT&T blijft de inbreuk onderzoeken en zijn beveiligingsmaatregelen verbeteren om toekomstige incidenten te voorkomen.