AT&T, 51 milyon eski ve mevcut müşterisine veri ihlali bildirimleri göndererek onları kişisel verilerinin bir bilgisayar korsanlığı forumunda açığa çıktığı konusunda uyarıyor. Ancak şirket, verilerin nasıl elde edildiğini henüz açıklamadı.
Bu veri ihlali bildirimleri, daha önce 2021’de 1 milyon dolara satılan büyük miktarda AT&T müşteri verilerinin Breach hack forumlarında yakın zamanda sızdırılmasıyla ilgilidir.
AT&T verileri 2021 yılında tehdit aktörü ShinyHunters tarafından ilk kez satışa sunulduğunda AT&T, BleepingComputer’a verilerin kendilerine ait olmadığını ve sistemlerinin ihlal edilmediğini söylemişti.
Geçtiğimiz ay, ‘BinbaşıNelson’ olarak bilinen başka bir tehdit aktörü tüm veri setini hackleme forumunda sızdırdığında, AT&T bir kez daha BleepingComputer’a verilerin kendisinden kaynaklanmadığını ve sistemlerinin ihlal edilmediğini söyledi.
BleepingComputer, verilerin AT&T ve DirectTV hesaplarına ait olduğunu doğruladıktan ve TechCrunch, AT&T şifrelerinin veri dökümünde olduğunu bildirdikten sonra, AT&T nihayet verilerin kendilerine ait olduğunu doğruladı.
Veri sızıntısı 70 milyondan fazla kişiye ait verileri içerse de AT&T şu anda toplam 51.226.382 müşteriyi etkilediğini söylüyor.
” [exposed] Bilgiler kişiye ve hesaba göre değişiklik gösteriyor ancak tam ad, e-posta adresi, posta adresi, telefon numarası, sosyal güvenlik numarası, doğum tarihi, AT&T hesap numarası ve AT&T şifresini içermiş olabilir” ifadesine yer veriliyor.
“Bildiğimiz kadarıyla kişisel mali bilgiler ve çağrı geçmişi dahil edilmedi. Bugüne kadar yaptığımız incelemeye göre veriler Haziran 2019 veya daha öncesine ait görünüyor.”
BleepingComputer, etkilenen müşteriler arasında neden bu kadar büyük bir fark olduğunu sormak için AT&T ile temasa geçti, ancak yayınlandığı zamana kadar herhangi bir yanıt alınamadı.
Şirket, verilerin nasıl çalındığını ve verilerin kendilerine ait olduğunu doğrulamanın ve müşterileri uyarmanın neden neredeyse beş yıl sürdüğünü hâlâ açıklamadı.
Ayrıca şirket, Maine Başsavcılığı’na ihlali ilk olarak 26 Mart 2024’te öğrendiklerini, ancak BleepingComputer’ın bu konuda kendileriyle ilk olarak 17 Mart’ta iletişime geçtiğini ve ilk olarak 2021’de satışa sunulduğunu söyledi.
Veriler yıllardır özel olarak dolaşımda olduğundan muhtemelen çok geç olsa da AT&T, bildirimlerde yer alan talimatlarla birlikte Experian aracılığıyla bir yıllık kimlik hırsızlığı koruması ve kredi izleme hizmetleri sunuyor. Kayıt için son tarih 30 Ağustos 2024 olarak belirlendi, ancak maruz kalan kişilerin kendilerini korumak için çok daha hızlı hareket etmeleri gerekiyor.
Alıcıların dikkatli olmaları, hesaplarını ve kredi raporlarını şüpheli faaliyetlere karşı izlemeleri ve istenmeyen iletişimlere çok dikkatli yaklaşmaları tavsiye edilir.
Kabul edilen güvenlik açığı ve veri ihlali iddialarının doğrulanması ve etkilenen müşterilerin buna göre bilgilendirilmesindeki büyük gecikme nedeniyle AT&T, ABD’de çok sayıda toplu davayla karşı karşıya bulunuyor
Verilerin 2021’de çalındığı göz önüne alındığında, siber suçluların veri kümesinden yararlanma ve açığa çıkan AT&T müşterilerine yönelik hedefli saldırılar başlatma konusunda bolca fırsatı vardı.
Ancak veri seti artık daha geniş siber suç topluluğuna sızdırıldı ve bu durum eski ve mevcut AT&T müşterileri için riski katlanarak artırdı.