Hackers roubam registros de chamadas e SMS de quase todos os clientes da AT&T
(krebsonsecurity.com)- Registros de interações por chamadas e mensagens de texto de cerca de 110 milhões de pessoas, praticamente todos os clientes da AT&T, vazaram em um incidente que permite inferir relações de contato e algumas localizações mesmo sem o conteúdo das mensagens
- Em abril de 2024, o invasor acessou um workspace da AT&T em uma plataforma de nuvem de terceiros e baixou arquivos de registros de 1º de maio a 31 de outubro de 2022 e de 2 de janeiro de 2023
- Os dados vazados não incluíam conteúdo de chamadas ou mensagens, números de Social Security, datas de nascimento nem outras informações de identificação pessoal, mas continham números de telefone e algumas informações de localização de torres de celular
- A AT&T adiou a divulgação a pedido de autoridades federais de investigação, citando preocupações de segurança nacional e segurança pública, e o FBI confirmou discussões sobre o adiamento conforme o SEC Rule Item 1.05(c)
- O caso está ligado a violações relacionadas à Snowflake, e a prática de proteger grandes volumes de dados de clientes apenas com nome de usuário e senha, junto com a ausência de autenticação multifator, continua sendo um risco central
Vazamento de registros da AT&T afetou quase todos os clientes
- A AT&T Corp. divulgou que uma nova violação de dados expôs registros de chamadas telefônicas e mensagens de texto de cerca de 110 milhões de pessoas
- O alcance do impacto corresponde a praticamente todos os clientes da AT&T e também inclui registros de chamadas e mensagens de provedores móveis que revendem serviços da AT&T
- Alguns registros continham dados que poderiam ser usados para determinar o local onde uma chamada foi feita ou onde uma mensagem de texto foi enviada
Dados vazados e dados ausentes
- Em abril de 2024, o invasor acessou o workspace da AT&T em uma plataforma de nuvem de terceiros
- Os arquivos baixados incluíam registros de interações de chamadas e mensagens de clientes nos seguintes períodos
- 1º de maio a 31 de outubro de 2022
- 2 de janeiro de 2023
- Os dados vazados não incluíam os seguintes itens
- Conteúdo das chamadas
- Conteúdo das mensagens de texto
- Números de Social Security
- Datas de nascimento
- Outras informações de identificação pessoal
- Alguns registros incluíam informações de localização da torre de comunicação celular mais próxima do assinante
- Essas informações podem ser usadas para identificar a localização aproximada do dispositivo do cliente que enviou mensagens de texto ou fez e recebeu chamadas
- Embora os dados não contenham nomes de clientes, a AT&T reconheceu que frequentemente há formas de encontrar, por meio de ferramentas públicas online, nomes associados a determinados números de telefone
Adiamento da divulgação e andamento da investigação
- A AT&T tomou conhecimento da violação em 19 de abril de 2024, mas adiou a divulgação a pedido de autoridades federais de investigação
- Segundo o registro da AT&T na SEC, pelo menos uma pessoa foi detida pelas autoridades em relação a essa violação
- O FBI confirmou que pediu à AT&T que adiasse a notificação aos clientes afetados
- Logo após confirmar uma possível violação de dados de clientes, a AT&T reportou o caso ao FBI, e AT&T, FBI e DOJ discutiram a possibilidade de adiar a divulgação conforme o SEC Rule Item 1.05(c)
- O motivo do adiamento foi o risco potencial à segurança nacional e à segurança pública
Violação da Snowflake e ausência de autenticação multifator
- Segundo um porta-voz da AT&T citado pelo TechCrunch, o roubo desses dados de clientes é resultado de uma violação de dados em andamento envolvendo mais de 160 clientes da provedora de dados em nuvem Snowflake
- Os atacantes perceberam que várias grandes empresas mantinham grandes volumes de dados sensíveis de clientes em servidores da Snowflake e protegiam as contas apenas com nome de usuário e senha
- Segundo a Wired, os hackers por trás do roubo de dados da Snowflake compraram credenciais da Snowflake roubadas em serviços da dark web
- Essas credenciais incluíam nomes de usuário, senhas e tokens de autenticação extraídos por malware de roubo de informações
- A Snowflake agora exige o uso de autenticação multifator para todos os novos clientes
- O banco de dados em nuvem que expôs os registros de clientes da AT&T também era protegido apenas por nome de usuário e senha, e a autenticação multifator não era exigida
Outras empresas afetadas pela Snowflake e violações anteriores da AT&T
- Outras empresas que tiveram milhões de registros de clientes roubados de servidores da Snowflake incluem
- Advance Auto Parts
- Allstate
- Anheuser-Busch
- Los Angeles Unified
- Mitsubishi
- Neiman Marcus
- Pure Storage
- Santander Bank
- State Farm
- Ticketmaster
- No início deste ano, após reconhecer uma violação de dados de 2018 envolvendo cerca de 7,6 milhões de titulares de contas atuais e cerca de 65,4 milhões de antigos titulares, a AT&T redefiniu as senhas de milhões de clientes
- Os dados expostos da Advance Auto Parts incluíam nomes completos, números de Social Security, carteiras de motorista e números de documentos de identidade emitidos pelo governo de 2,3 milhões de funcionários atuais, ex-funcionários ou candidatos a vagas
Riscos deixados pelos metadados de chamadas e mensagens
- O arquiteto de segurança de aplicações Mark Burnett vê o uso real dos dados roubados na violação da AT&T como a possibilidade de saber quem contatou quem e quantas vezes
- Burnett afirmou que o que mais o preocupa nesse vazamento é que não se trata do principal banco de dados da AT&T, mas de metadados sobre “quem contatou quem”
- Mesmo que os registros de chamadas não tenham timestamps ou nomes, permanece a dúvida sobre para que esses registros foram usados
Responsabilidade corporativa e impacto financeiro
- A prática de grandes empresas armazenarem dados sensíveis de clientes com poucas proteções de segurança continua sendo um problema sem solução clara
- Exceto quando ações coletivas se seguem a uma violação de dados, há poucos mecanismos para responsabilizar empresas por práticas de segurança deficientes
- A AT&T informou à SEC que este incidente provavelmente não terá impacto relevante sobre sua condição financeira ou seus resultados operacionais
- A receita trimestral recente da AT&T supera US$ 30 bilhões
1 comentários
Opiniões no Hacker News
Os comentários foram movidos para https://news.ycombinator.com/item?id=40944505
Links de discussão relacionados:
(272 pontos, 7 horas atrás, 210 comentários) https://news.ycombinator.com/item?id=40944505
(76 pontos, 6 horas atrás, 31 comentários) https://news.ycombinator.com/item?id=40944839
É uma publicação duplicada, e a discussão adicional está em https://news.ycombinator.com/item?id=40944505