AT&T 大规模数据泄露事件暴露了1.09 亿移动客户通话记录,其中客户记录被黑客从云平台 Snowflake“非法下载”。
在周五上午向美国证券交易委员会(SEC)提交的8-K表格中,AT&T报告称其被盗数据包括几乎所有AT&T移动客户和移动虚拟网络运营商(MVNO)客户在2022年5月1日至2022年10月31日以及2023年1月2日期间的通话和短信记录。AT&T进一步表示,AT&T 表示这些数据是在 2024 年 4 月 14 日至 4 月 25 日期间从 Snowflake 账户中窃取的。
被盗数据包括:
-
AT&T 有线客户和其他运营商客户的电话号码
-
与 AT&T 或 MVNO 无线号码交互的电话号码
-
交互次数(如通话或短信数量)
-
一天或一个月的总通话时长
-
对于部分记录,一个或多个基站识别码
虽然暴露的记录不包含通话或短信内容、客户姓名或任何其他个人信息(如社会安全号或出生日期)等敏感信息,但一些不法分子可以将通信元数据与公开信息进行关联,并在许多情况下轻松推导出客户身份。
AT&T 表示,在得知发生数据泄露后,该公司与网络安全专家积极合作,并及时通知了执法部门。美国司法部于 2024 年 5 月 9 日和 2024 年 6 月 5 日两次批准 AT&T 延迟向公众通报,原因是公开信息可能会危及国家安全和公共安全。
联邦调查局表示:“FBI 优先向遭受网络攻击的受害者提供援助,并鼓励各组织在攻击事件发生前与当地 FBI 外地办事处建立关系,并在发生数据泄露时尽早与 FBI 联系。”
AT&T 正与执法部门合作逮捕涉案人员,据称至少已有一人被捕。与此同时,该公司已采取额外的网络安全措施,用于防止以后出现任何未经授权的访问,并承诺将迅速通知受此次事件影响的现有客户和老客户。
AT&T 用户可以通过常见问题页面上提供的链接,查看自己的电话号码数据是否被泄露,并下载与被盗号码相关的数据。
ESET 首席安全布道师 Tony Anscombe 建议道:“如果你突然收到一条声称是你经常打电话或发短信的联系人发来的信息,并且信息上附有’这是我的新号码’的说明时,强烈建议在与对方互动之前,先拨打对方的电话或发送电子邮件,以此确认新号码是否属实。目前此次泄露数据可能已与其他泄露数据相联,这种组合数据集让网络犯罪分子能够对个人进行剖析,从而进行鱼叉式网络钓鱼和潜在的身份盗窃。”
截至目前,没有任何证据表明 AT&T 被访问的数据已被公开,公司称该事件与其今年早些时候影响 5100 万用户的 2021 数据泄露事件无关。
AT&T 是如何被入侵的?
AT&T 称,客户数据是 “从第三方云平台上的工作区非法下载的”。虽然该公司没有具体指出该平台的名称,但多个消息来源将该事件与最近发生的一系列 Snowflake 平台数据窃取事件联系起来,攻击者入侵了数百个 Snowflake实例。
今年6月,Mandiant报告称,一个被追踪为UNC5537的经济动机黑客,利用通过感染非Snowflake所有系统的信息窃取恶意软件窃取的客户凭据,成功入侵了数百个Snowflake实例。
此后,Snowflake 为工作区管理员推出了强制性多因素身份验证(MFA)执行选项,用以保护账户不被轻易接管,从而防止数据泄露事件影响至数百万人。
(转载请注明出处@安全威胁纵横,本文来源:https://www.bleepingcomputer.com/news/security/massive-atandt-data-breach-exposes-call-logs-of-109-million-customers/,https://www.securityweek.com/att-data-breach-nearly-all-wireless-customers-exposed-in-massive-hack/)
原文始发于微信公众号(安全威胁纵横):美国最大电信运营商 AT&T 发生大规模数据泄露事件,1.09 亿用户通话记录曝光
