AT&T сообщила о масштабной утечке данных. В результате инцидента злоумышленники похитили журналы вызовов почти 109 млн абонентов (почти все пользователи мобильной связи AT&T) из БД в аккаунте Snowflake.
В апреле 2024 года злоумышленники выгрузили из Snowflake БД по меньшей мере 165 организаций, используя для этого учетные данные, ранее украденные с помощью инфостилеров. Затем хакеры шантажировали компании, требуя выкуп и угрожая в противном случае опубликовать украденную информацию или продать ее другим преступникам.
По информации специалистов Mandiant, за атаками на клиентов Snowflake стоит финансово мотивированная группировка, которую эксперты отслеживают как UNC5537.
В конце прошлой недели компания AT&T подала бумаги в Комиссию по ценным бумагам и биржам США. В этих документах утверждается, что похищенная иноформация содержит данные о звонках и текстовых сообщениях почти всех пользователей мобильной связи AT&T, а также информацию клиентов операторов виртуальных мобильных сетей (MVNO), за период с 1 мая по 31 октября 2022 года, а также 2 января 2023 года.
Украденные данные включают:
- телефонные номера пользователей проводной связи AT&T и клиентов других операторов;
- телефонные номера, с которыми взаимодействовали беспроводные номера AT&T и MVNO;
- количество взаимодействий (например, количество звонков или текстовых сообщений).
- данные о суммарной продолжительности звонков за день или месяц;
- один или несколько идентификационных номеров базовых станций (для некоторых подгрупп).
Подчеркивается, что среди похищенных данных не было записей звонков или содержимого сообщений, имен клиентов и прочей личной информации, например, номеров социального страхования или дат рождения.
И хотя конфиденциальные данные, позволяющие раскрыть личности клиентов, не пострадали, метаданные тоже могут использоваться для сопоставления с публично доступной информацией, что во многих случаях позволяет легко установить личность абонента.
Компания утверждает, что после обнаружения утечки она активно сотрудничала с ИБ-экспертами и уведомила правоохранительные органы. Однако Министерство юстиции США дважды (9 мая 2024 года и 5 июня 2024 года) позволило AT&T отложить публичное заявление об инциденте из-за потенциального риска для национальной и общественной безопасности.
«AT&T, ФБР и Минюст США сотрудничали во время первой и второй отсрочки, обмениваясь при этом ключевыми данными об угрозах, чтобы укрепить позиции ФБР в расследовании и помочь AT&T в реагировании на инцидент», — сообщается в документах.
AT&T подчеркивает, что сотрудничает с правоохранительными органами с целью ареста причастных к атаке лиц и заявляет, что, по крайней мере, один человек уже задержан.
Хотя в AT&T и ФБР отказались рассказать об этом аресте подробнее, по информации издания 404 Media, речь идет о 24-летнем гражданине США по имени Джон Биннс (John Binns), которого арестовали в Турции в мае 2024. Известно, что Биннсу также предъявлено обвинение во взломе компании T-Mobile в 2021 году и последующей продаже украденных данных.
В AT&T уверяют, что уже приняли дополнительные меры по обеспечению кибербезопасности, чтобы в будущем блокировать попытки несанкционированного доступа, а также пообещали в ближайшее время уведомить всех нынешних и бывших клиентов, пострадавших в результате этой утечки.
