Incidente de violação de dados com roubo dos registros telefônicos de 'quase todos' os clientes da AT&T

 (techcrunch.com)
1 pontos por GN⁺ 2024-07-13 | 1 comentários | Compartilhar no WhatsApp

Incidente de vazamento de dados da AT&T

  • Vazamento de dados da AT&T

    • A AT&T confirmou que cibercriminosos roubaram os registros telefônicos de quase todos os seus clientes
    • Os dados roubados incluem números de telefone, registros de chamadas e mensagens de texto, e dados relacionados à localização de milhões de clientes da AT&T

  • Conteúdo dos dados roubados

    • Incluem números de telefone e registros de chamadas e mensagens de texto de clientes de telefonia fixa e móvel
    • O conteúdo das chamadas e das mensagens de texto não foi incluído
    • Foram incluídos metadados dos registros de chamadas e mensagens de texto, como quantidade de chamadas e mensagens e horário das chamadas
    • Parte dos dados também inclui registros posteriores a 2 de janeiro de 2023

  • Impacto dos dados vazados

    • Cerca de 110 milhões de clientes da AT&T deverão ser notificados
    • Também inclui registros de chamadas de clientes de outras operadoras
    • Alguns dados incluem números identificadores de sites de celular que podem ser usados para rastreamento de localização

  • Causa do incidente

    • A AT&T tomou conhecimento do vazamento em 19 de abril
    • Os dados foram roubados da empresa de dados em nuvem Snowflake
    • O vazamento ocorreu devido à falta de uso de autenticação multifator na Snowflake
    • A Mandiant informou que dados de cerca de 165 clientes da Snowflake foram roubados

  • Resposta legal

    • A AT&T está cooperando com as autoridades para prender os cibercriminosos
    • O FBI e o DOJ adiaram o anúncio duas vezes por motivos de risco à segurança nacional e à segurança pública

  • Incidente anterior

    • A AT&T também sofreu, no início deste ano, um incidente de vazamento de informações de contas de clientes

Resumo do GN⁺

  • O incidente de vazamento de dados da AT&T afeta cerca de 110 milhões de clientes
  • A principal causa do vazamento foi uma vulnerabilidade de segurança decorrente da ausência de autenticação multifator na Snowflake
  • Este incidente levanta questões graves relacionadas à proteção da privacidade dos clientes
  • Outros serviços de dados em nuvem com funcionalidades semelhantes incluem AWS, Google Cloud etc.

Leituras relacionadas

1 comentários

 
GN⁺ 2024-07-13
Opiniões no Hacker News

  • Se os 110 milhões de clientes da AT&T gastarem só mais 1 minuto cada com gerenciamento de conta, isso desperdiça mais de 209 anos de tempo

    • As leis relacionadas a vazamentos de dados precisam ser mais duras
    • O motivo de as empresas adotarem apenas medidas mínimas de segurança é que quase não há punição real por vazamentos
    • É preciso responsabilizar as empresas e processar criminalmente as pessoas que causaram o vazamento por negligência
    • Devem ser aplicadas multas enormes para que a liderança da empresa e os acionistas sofram consequências reais

  • No caso do vazamento de dados da Snowflake, o que vazou não foram dados operacionais da AT&T, mas dados vendidos a um parceiro de marketing

    • A missão da Snowflake é derrubar silos de dados, superar a complexidade e possibilitar colaboração segura com dados
    • Na Europa, esse tipo de armazenamento de dados é ilegal e também não está de acordo com a Convenção Europeia de Direitos Humanos
    • Não há necessidade de um prestador de serviço armazenar esses dados, e é fácil proibir isso por lei

  • Cancelei minha conta da AT&T há 10 anos, mas ainda assim meu endereço, nome e SSN estavam armazenados

    • É absurdo que não existam leis para punir organizações incompetentes

  • As ações da AT&T se recuperaram da queda inicial de -2,6%, e a Snowflake caiu -3,9%

    • O mercado acha que a AT&T é imune

  • Segundo a matéria do TechCrunch, como havia identificadores de sites de celular incluídos, a localização aproximada também vazou

  • Os consumidores ficaram tão anestesiados com vazamentos de dados que quase não há indignação

    • Sem indignação dos consumidores, as empresas não têm motivação para fazer mais esforço para evitar vazamentos

  • No começo deste ano, o SSN vazou na dark web

    • Um ano de monitoramento não é suficiente; é necessário monitoramento vitalício
    • Não existe incentivo real para investir em segurança
    • Eles deveriam ser obrigados a pagar o custo do monitoramento por tempo indeterminado

  • Empresas como a AT&T são imunes a roubo de identidade

    • O EIN de uma empresa é público, mas não dá para usar isso para cometer roubo de identidade ou fraude com cartão de crédito

  • Os dados deveriam ser apagados com o tempo

    • Quase não há necessidade de o cliente verificar quem ligou no ano passado
    • Exceto em casos como investigações criminais ou espionagem, o cliente não tem o direito de decidir por quanto tempo os dados serão armazenados nem como serão usados
    • As empresas deveriam fornecer ferramentas e recursos para que os clientes possam gerenciar seus próprios dados