1 pontos por GN⁺ 2024-07-13 | 1 comentários | Compartilhar no WhatsApp
  • Registros de interações por chamadas e mensagens de texto de cerca de 110 milhões de pessoas, praticamente todos os clientes da AT&T, vazaram em um incidente que permite inferir relações de contato e algumas localizações mesmo sem o conteúdo das mensagens
  • Em abril de 2024, o invasor acessou um workspace da AT&T em uma plataforma de nuvem de terceiros e baixou arquivos de registros de 1º de maio a 31 de outubro de 2022 e de 2 de janeiro de 2023
  • Os dados vazados não incluíam conteúdo de chamadas ou mensagens, números de Social Security, datas de nascimento nem outras informações de identificação pessoal, mas continham números de telefone e algumas informações de localização de torres de celular
  • A AT&T adiou a divulgação a pedido de autoridades federais de investigação, citando preocupações de segurança nacional e segurança pública, e o FBI confirmou discussões sobre o adiamento conforme o SEC Rule Item 1.05(c)
  • O caso está ligado a violações relacionadas à Snowflake, e a prática de proteger grandes volumes de dados de clientes apenas com nome de usuário e senha, junto com a ausência de autenticação multifator, continua sendo um risco central

Vazamento de registros da AT&T afetou quase todos os clientes

  • A AT&T Corp. divulgou que uma nova violação de dados expôs registros de chamadas telefônicas e mensagens de texto de cerca de 110 milhões de pessoas
  • O alcance do impacto corresponde a praticamente todos os clientes da AT&T e também inclui registros de chamadas e mensagens de provedores móveis que revendem serviços da AT&T
  • Alguns registros continham dados que poderiam ser usados para determinar o local onde uma chamada foi feita ou onde uma mensagem de texto foi enviada

Dados vazados e dados ausentes

  • Em abril de 2024, o invasor acessou o workspace da AT&T em uma plataforma de nuvem de terceiros
  • Os arquivos baixados incluíam registros de interações de chamadas e mensagens de clientes nos seguintes períodos
    • 1º de maio a 31 de outubro de 2022
    • 2 de janeiro de 2023
  • Os dados vazados não incluíam os seguintes itens
    • Conteúdo das chamadas
    • Conteúdo das mensagens de texto
    • Números de Social Security
    • Datas de nascimento
    • Outras informações de identificação pessoal
  • Alguns registros incluíam informações de localização da torre de comunicação celular mais próxima do assinante
    • Essas informações podem ser usadas para identificar a localização aproximada do dispositivo do cliente que enviou mensagens de texto ou fez e recebeu chamadas
  • Embora os dados não contenham nomes de clientes, a AT&T reconheceu que frequentemente há formas de encontrar, por meio de ferramentas públicas online, nomes associados a determinados números de telefone

Adiamento da divulgação e andamento da investigação

  • A AT&T tomou conhecimento da violação em 19 de abril de 2024, mas adiou a divulgação a pedido de autoridades federais de investigação
  • Segundo o registro da AT&T na SEC, pelo menos uma pessoa foi detida pelas autoridades em relação a essa violação
  • O FBI confirmou que pediu à AT&T que adiasse a notificação aos clientes afetados
  • Logo após confirmar uma possível violação de dados de clientes, a AT&T reportou o caso ao FBI, e AT&T, FBI e DOJ discutiram a possibilidade de adiar a divulgação conforme o SEC Rule Item 1.05(c)
  • O motivo do adiamento foi o risco potencial à segurança nacional e à segurança pública

Violação da Snowflake e ausência de autenticação multifator

  • Segundo um porta-voz da AT&T citado pelo TechCrunch, o roubo desses dados de clientes é resultado de uma violação de dados em andamento envolvendo mais de 160 clientes da provedora de dados em nuvem Snowflake
  • Os atacantes perceberam que várias grandes empresas mantinham grandes volumes de dados sensíveis de clientes em servidores da Snowflake e protegiam as contas apenas com nome de usuário e senha
  • Segundo a Wired, os hackers por trás do roubo de dados da Snowflake compraram credenciais da Snowflake roubadas em serviços da dark web
    • Essas credenciais incluíam nomes de usuário, senhas e tokens de autenticação extraídos por malware de roubo de informações
  • A Snowflake agora exige o uso de autenticação multifator para todos os novos clientes
  • O banco de dados em nuvem que expôs os registros de clientes da AT&T também era protegido apenas por nome de usuário e senha, e a autenticação multifator não era exigida

Outras empresas afetadas pela Snowflake e violações anteriores da AT&T

  • Outras empresas que tiveram milhões de registros de clientes roubados de servidores da Snowflake incluem
    • Advance Auto Parts
    • Allstate
    • Anheuser-Busch
    • Los Angeles Unified
    • Mitsubishi
    • Neiman Marcus
    • Pure Storage
    • Santander Bank
    • State Farm
    • Ticketmaster
  • No início deste ano, após reconhecer uma violação de dados de 2018 envolvendo cerca de 7,6 milhões de titulares de contas atuais e cerca de 65,4 milhões de antigos titulares, a AT&T redefiniu as senhas de milhões de clientes
  • Os dados expostos da Advance Auto Parts incluíam nomes completos, números de Social Security, carteiras de motorista e números de documentos de identidade emitidos pelo governo de 2,3 milhões de funcionários atuais, ex-funcionários ou candidatos a vagas

Riscos deixados pelos metadados de chamadas e mensagens

  • O arquiteto de segurança de aplicações Mark Burnett vê o uso real dos dados roubados na violação da AT&T como a possibilidade de saber quem contatou quem e quantas vezes
  • Burnett afirmou que o que mais o preocupa nesse vazamento é que não se trata do principal banco de dados da AT&T, mas de metadados sobre “quem contatou quem”
  • Mesmo que os registros de chamadas não tenham timestamps ou nomes, permanece a dúvida sobre para que esses registros foram usados

Responsabilidade corporativa e impacto financeiro

  • A prática de grandes empresas armazenarem dados sensíveis de clientes com poucas proteções de segurança continua sendo um problema sem solução clara
  • Exceto quando ações coletivas se seguem a uma violação de dados, há poucos mecanismos para responsabilizar empresas por práticas de segurança deficientes
  • A AT&T informou à SEC que este incidente provavelmente não terá impacto relevante sobre sua condição financeira ou seus resultados operacionais
  • A receita trimestral recente da AT&T supera US$ 30 bilhões

1 comentários

 
GN⁺ 2024-07-13
Opiniões no Hacker News