Registros telefônicos de “quase todos” os clientes da AT&T foram roubados em vazamento de dados
(techcrunch.com)- O novo vazamento de dados da AT&T afetou os registros de relações de chamadas e mensagens de texto de quase todos os clientes, e cerca de 110 milhões de pessoas deverão ser notificadas
- Os dados roubados se concentram em metadados de chamadas e mensagens de texto de 1º de maio a 31 de outubro de 2022; para alguns clientes, também incluem registros de 2 de janeiro de 2023
- O conteúdo das mensagens e os horários/datas exatos não foram incluídos, mas foram expostos quem se comunicou com quem, o volume e a duração das chamadas, além de alguns identificadores de sites de célula
- O incidente é separado do incidente de segurança da AT&T em março e está ligado à recente onda de roubo de dados direcionada a contas de clientes da Snowflake
- A não utilização de autenticação multifator na proteção de contas da Snowflake virou um ponto central, e a Mandiant confirmou roubo significativo de dados em cerca de 165 contas de clientes
Escopo dos registros telefônicos vazados da AT&T
- A AT&T pretende notificar cerca de 110 milhões de pessoas por causa deste incidente
- Os dados roubados incluem números de telefone e registros de chamadas e mensagens de texto de clientes de telefonia móvel e fixa da AT&T
- O período afetado é de seis meses, de 1º de maio de 2022 a 31 de outubro de 2022
- Para alguns clientes, também há registros mais recentes de 2 de janeiro de 2023, mas o número desses clientes não foi divulgado
- Registros de chamadas de clientes de outras operadoras que usam a rede da AT&T também estão nos dados vazados
- Os dados vazados não incluem o conteúdo de chamadas ou mensagens de texto
- É possível identificar com quais números um determinado número da AT&T fez chamadas ou trocou mensagens de texto
- Estão incluídos o total de chamadas e mensagens de texto dos clientes e a duração das chamadas
- O horário ou a data das chamadas e mensagens de texto não estão incluídos
- Alguns registros incluem identificadores de sites de célula associados a chamadas telefônicas ou mensagens de texto
- Com essas informações, é possível determinar a localização aproximada em que uma chamada foi realizada ou uma mensagem foi enviada
- A AT&T divulgou o incidente por meio de uma página de informações para clientes e de um documento enviado a órgãos reguladores
Roubo de contas da Snowflake e situação da investigação
- A AT&T tomou conhecimento deste vazamento de dados em 19 de abril e afirmou que ele não tem relação com o incidente de segurança anterior divulgado em março
- Foi confirmado que os registros de clientes mais recentes foram roubados da Snowflake durante a recente onda de roubo de dados contra clientes da Snowflake
- A Snowflake é um serviço que permite a clientes corporativos analisar grandes volumes de dados de clientes na nuvem
- O motivo pelo qual a AT&T armazenou dados de clientes na Snowflake não foi divulgado
- Nas últimas semanas, a Ticketmaster e a QuoteWizard, subsidiária da LendingTree, também confirmaram que tiveram dados roubados da Snowflake
- A Snowflake atribui a responsabilidade pelo roubo de dados aos clientes que não usaram autenticação multifator para proteger suas contas
- A Snowflake não impôs nem tornou obrigatório esse recurso de segurança para seus clientes
- A Mandiant, chamada pela Snowflake para apoiar notificações a clientes, confirmou que uma quantidade significativa de dados foi roubada de cerca de 165 contas de clientes da Snowflake
- A Mandiant atribui esta invasão a um grupo de cibercrime ainda não classificado, rastreado como UNC5537
- Avalia-se que os hackers tenham motivação financeira
- Os integrantes estão na América do Norte, e pelo menos um está na Turquia
- Dados de algumas empresas vítimas do roubo de contas da Snowflake foram publicados em fóruns conhecidos de cibercrime, mas a AT&T não acredita que seus dados estejam atualmente disponíveis publicamente
- A AT&T está cooperando com autoridades policiais para prender os cibercriminosos envolvidos, e pelo menos uma pessoa foi presa
- A pessoa presa não é funcionária da AT&T
- O FBI não comentou a prisão
- O FBI confirmou que, depois que a AT&T reportou a invasão, AT&T, FBI e Departamento de Justiça concordaram duas vezes em adiar a notificação a clientes e ao público
- O motivo foram riscos potenciais à segurança nacional e à segurança pública
- Durante o processo de adiamento, as três instituições compartilharam informações sobre ameaças para apoiar a investigação do FBI e a resposta da AT&T ao incidente
- Este é o segundo incidente de segurança divulgado pela AT&T neste ano
- Anteriormente, depois que um cache de informações de contas de clientes foi publicado em um fórum de cibercrime, a AT&T precisou redefinir as senhas de contas de milhões de clientes
- Na ocasião, o cache incluía passcodes criptografados para acesso a contas de clientes da AT&T, e pesquisadores de segurança avaliaram que esses passcodes poderiam ser descriptografados facilmente
1 comentários
Opiniões no Hacker News
A AT&T tem 110 milhões de clientes; se, por causa da invasão, cada cliente gastar só 1 minuto a mais gerenciando sua conta, isso significa mais de 209 anos de tempo desaparecendo no total
As leis sobre vazamento de dados precisam ser muito mais duras. Se houver poucas consequências reais para vazamentos, as empresas vão investir apenas o mínimo em segurança de dados
É preciso atravessar a personalidade jurídica e processar criminalmente as pessoas cuja negligência permitiu algo assim, ou aplicar multas grandes o suficiente para que executivos e acionistas sintam um impacto real
Todo mundo culpa a empresa, mas será que ninguém acha estranho o governo ter registros de todas as minhas atividades de chamadas? Antigamente, chamaríamos isso de Estado de vigilância distópico
Eu não gostaria de ser legalmente responsabilizado se meu software fosse invadido por causa de uma vulnerabilidade que eu desconhecia
Um primeiro passo razoável poderia ser criar padrões, auditorias e certificações de terceiros para segurança de dados, permitindo que consumidores que valorizam privacidade e segurança saibam o que as empresas fazem. Se os consumidores perceberem valor nisso, vão preferir essas empresas, e outras poderão seguir o mesmo caminho
É simplesmente incompreensível que isso ainda não seja ilegal
A AT&T se tornaria quase como um serviço com criptografia de ponta a ponta da noite para o dia
Como a própria linha não seria criptografada, a NSA ainda poderia fazer escutas, mas pelo menos os datacenters da AT&T poderiam ter zero armazenamento mutável, exceto unidades de boot, filas de mensagens SMS e mapeamentos entre SIMs autorizados e números de telefone
Não entendo por que ainda mantêm registros de chamadas hoje em dia. Eles nem são mais necessários para o objetivo original, que era a cobrança
Se foi um “vazamento de dados ainda em andamento envolvendo mais de 160 clientes do provedor de dados em nuvem Snowflake”, fico me perguntando o que a Snowflake normalmente faz com todos os dados da AT&T. Redistribui para “parceiros de marketing”? Parece que sim
A declaração de missão no site da Snowflake diz: “Nossa missão é quebrar silos de dados, superar a complexidade e permitir a colaboração segura de dados entre publishers, anunciantes e as principais tecnologias que os apoiam”
Então parece que não foi o sistema operacional da AT&T que foi invadido, mas sim dados que já estavam sendo vendidos a profissionais de marketing e que alguém não autorizado pegou. Fico curioso se esse entendimento está correto
Observando este vazamento e a natureza dos dados que estavam no data lake da Snowflake, do ponto de vista do cliente eu não acho que este incidente seria visto como um “vazamento”. O vazamento de verdade já tinha acontecido mais acima na cadeia
Pela natureza dos dados no banco e pela plataforma onde estavam armazenados, parece muito provável que esses dados não fossem para uso interno da AT&T, mas sim preparados para uso externo por terceiros, como anunciantes ou parceiros de análise de consumidores, ou por órgãos governamentais
Ou seja, se meus dados estivessem nesse repositório, eu consideraria que eles já tinham sido “vazados” no momento em que entraram nele. O problema aqui parece ser que, do ponto de vista da AT&T e do FBI, eles vazaram para as pessoas erradas
Não importa se é a AT&T, um banco ou o governo. Em nenhuma circunstância dá para esperar que informações sensíveis permaneçam privadas
Antigamente, ao apresentar a internet às crianças, ensinávamos isso quase como uma regra absoluta; é impressionante o quanto mudou em 20 anos
As ações da AT&T já se recuperaram bastante da queda inicial de -2,6% desta manhã, então o mercado parece considerar a AT&T imune. Já a Snowflake cai -3,9% e tem muitos clientes além da AT&T
https://www.marketwatch.com/investing/stock/T
https://www.marketwatch.com/investing/stock/SNOW
Se houver algum efeito visível no preço das ações, acho provável que não tenha relação com esta notícia
Neste caso, segundo a reportagem, a causa dos vazamentos da Ticketmaster e da Lending Tree também foi a Snowflake, então agora faz sentido haver uma grande queda na confiança na Snowflake
O resultado da ação coletiva provavelmente vai acabar virando, em vez de 2 dólares para cada um, um vale de teste gratuito de serviço adicional de toques de celular do início dos anos 2000, o que no fim só aumentará a receita recorrente
Na Europa, armazenar registros telefônicos de forma abrangente além do necessário para a operação provavelmente seria ilegal em vários países e, em geral, também seria incompatível com a Convenção Europeia de Direitos Humanos, a menos que fosse uma medida temporária sob supervisão judicial e diante de uma ameaça real à segurança nacional[1]
Não há motivo para um provedor de serviços armazenar esse tipo de coisa para começo de conversa, e também não seria difícil corrigir isso por lei. Bastaria tornar ilegal a própria retenção
[1] https://curia.europa.eu/juris/document/document.jsf?text=&do...
A Alemanha tem um período relativamente curto, de 10 semanas, mas ainda assim esses registros precisam ser mantidos
Dizer que coletar esse tipo de registro é ilegal na Europa é claramente errado; além disso, a coleta de registros normalmente é obrigatória por um período definido em cada país
Registros de chamadas são necessários para cobrança. Como é comum clientes contestarem faturas, também é preciso mantê-los por algum tempo adicional
Infelizmente, os EUA parecem valorizar mais a “inovação disruptiva” do que a proteção do consumidor, e por isso a proteção legal de dados não é popular no Congresso
Acho que isso estaria mais sujeito às restrições do GDPR
Os consumidores ficaram tão dessensibilizados a vazamentos de dados que hoje quase não há indignação nem mesmo com casos assim. Sem indignação dos consumidores, vejo pouco incentivo para as empresas se esforçarem mais para impedir vazamentos de dados
Se começarem a aplicar multas de bilhões de dólares por vazamentos assim, as empresas de repente vão investir em segurança
Mas, com a decisão recente da Suprema Corte enfraquecendo o poder das agências governamentais, isso parece improvável
Agora talvez seja preciso depender dos tribunais civis, ou seja, de ações coletivas, para impor essas multas
Cancelei minha conta da AT&T há mais de 10 anos, mas no hack anterior, em março deste ano, eles ainda armazenavam meu endereço antigo, meu nome completo e meu número de Seguro Social
É realmente absurdo não haver leis adequadas para punir de forma efetiva organizações incompetentes
No começo deste ano, meu número de Seguro Social foi parar na dark web por causa de um vazamento da AT&T ou de um fornecedor dela. Monitoramento por 1 ano não resolve. Precisa ser vitalício
Segurança não é uma prioridade. Não há incentivo real para mudar o status quo. Essas empresas deveriam ser obrigadas a pagar por monitoramento por tempo indeterminado
No meu país, o número do documento nacional de identidade pode ser calculado a partir da data de nascimento, de um número incremental da ordem de nascimento naquele dia e de um dígito de checksum; se você tiver qualquer atividade como pessoa física empresária, precisa colocar seu número fiscal pessoal em todos os recibos ou documentos de compras comerciais
Saber que o número de ID do primeiro menino nascido hoje é 120702450001X não ajuda ninguém a fazer algo ruim. Não me dei ao trabalho de calcular o checksum, mas o algoritmo é público
É preciso pensar no que acontece com pessoas que ligaram para linhas de prevenção ao suicídio, clínicas de aborto, serviços de pagamento de empréstimos etc.
Com o número de telefone, dá para descobrir esse tipo de coisa
Segundo a matéria do TechCrunch, identificadores de torres de celular também estavam incluídos, o que significa que dados aproximados de localização também estavam incluídos
https://techcrunch.com/2024/07/12/att-phone-records-stolen-d...
Então fico me perguntando onde está minha indenização. Claro, sei que não há recurso
Quando ninguém é responsabilizado por práticas seguras, como ativar autenticação multifator em repositórios de dados que contêm enormes volumes de informações pessoais de clientes, o resultado é esse
Eles apenas comunicam o caso e seguem em frente, sem sequer pedir desculpas. Fica por algo como “ops, esses malditos cibercriminosos”