Amerikalı telekomünikasyon servis sağlayıcısı AT&T, tehdit unsurlarının AT&T’nin kablosuz ağını kullanan “neredeyse tüm” kablosuz müşterilerinin yanı sıra mobil sanal ağ operatörlerinin (MVNO) müşterilerine ait verilere erişmeyi başardığını doğruladı.
“Tehdit aktörleri, üçüncü taraf bir bulut platformundaki AT&T çalışma alanına yasa dışı bir şekilde erişti ve 14 Nisan ile 25 Nisan 2024 arasında, yaklaşık olarak 1 Mayıs ile 31 Ekim 2022 arasında ve ayrıca 2 Ocak 2023’te gerçekleşen müşteri arama ve mesaj etkileşimlerine ilişkin AT&T kayıtlarını içeren dosyaları sızdırdı” denildi.
Bu, bir AT&T veya MVNO kablosuz numarasının etkileşimde bulunduğu telefon numaralarını içerir; AT&T sabit hat müşterilerinin ve diğer operatörlerin müşterilerinin telefon numaraları, bu etkileşimlerin sayıları ve bir gün veya ay için toplam çağrı süresi dahil.
Bu kayıtların bir alt kümesi ayrıca bir veya daha fazla hücre sitesi tanımlama numarası içeriyordu ve bu da tehdit aktörlerinin bir arama yapıldığında veya bir kısa mesaj gönderildiğinde bir müşterinin yaklaşık konumunu üçgenlemesine olanak tanıyordu. AT&T, bilgilerinin söz konusu olması durumunda mevcut ve eski müşterileri uyaracağını söyledi.
“Tehdit aktörleri, telefon numaralarını kimliklerle eşleştirmek için önceki uzlaşmalardan gelen verileri kullandılar,” dedi eski NSA hacker’ı ve IANS Araştırma’da öğretim görevlisi olan Jake Williams. “Tehdit aktörlerinin burada çaldığı şey, istihbarat analizinde altın madeni olan çağrı verisi kayıtlarıdır (CDR), çünkü kimin kiminle konuştuğunu ve ne zaman konuştuğunu anlamak için kullanılabilirler.”
AT&T’nin MVNO listesinde Black Wireless, Boost Infinite, Consumer Cellular, Cricket Wireless, FreedomPop, FreeUp Mobile, Good2Go, H2O Wireless, PureTalk, Red Pocket, Straight Talk Wireless, TracFone Wireless, Unreal Mobile ve Wing yer alıyor.
AT&T, üçüncü taraf bulut sağlayıcısının adını açıklamadı ancak Bloomberg’e göre Snowflake, ihlalin Ticketmaster, Santander, Neiman Marcus ve LendingTree gibi diğer müşterileri de etkileyen saldırıyla bağlantılı olduğunu doğruladı.
Şirket, 19 Nisan 2024’te olaydan haberdar olduğunu ve derhal müdahale çabalarını harekete geçirdiğini söyledi. Ayrıca, olaya karışanları tutuklama çabalarında kolluk kuvvetleriyle birlikte çalıştığını ve “en az bir kişinin yakalandığını” belirtti.
404 Media, Mayıs 2024’te Türkiye’de tutuklanan John Binns adlı 24 yaşındaki bir ABD vatandaşının, üç isimsiz kaynağa atıfta bulunarak güvenlik olayıyla bağlantılı olduğunu bildirdi. Ayrıca 2021’de T-Mobile’a sızmak ve müşteri verilerini satmakla ABD’de suçlandı.
Ancak erişilen bilgilerin arama veya kısa mesajların içeriğini, Sosyal Güvenlik numarası, doğum tarihi veya diğer kişisel tanımlayıcı bilgileri içermediği vurgulandı.
ABD Menkul Kıymetler ve Borsa Komisyonu’na (SEC) sunulan Form 8-K dosyasında, “Veriler müşteri adlarını içermese de, genellikle halka açık çevrimiçi araçları kullanarak belirli bir telefon numarasıyla ilişkili adı bulmanın yolları vardır” denildi.
Ayrıca kullanıcıları yalnızca güvenilir göndericilerden gelen kısa mesajları açarak kimlik avı, kimlik avı ve çevrimiçi dolandırıcılığa karşı dikkatli olmaya çağırıyor. Bunun da ötesinde, müşteriler yasadışı olarak indirilen verilerdeki aramalarının ve kısa mesajlarının telefon numaralarını almak için bir talepte bulunabilirler.
Snowflake’u hedef alan kötü niyetli siber saldırı, 165 müşteriyi hedef aldı. Google’ın sahibi olduğu Mandiant şirketi, faaliyeti UNC5537 adlı, “Kuzey Amerika’da bulunan üyeleri ve Türkiye’deki ek bir üyeyle işbirliği yapan” finansal amaçlı bir tehdit grubuna bağladı.
Suçlular, çalınan veriler karşılığında 300.000 ila 5 milyon dolar arasında ödeme talep ettiler. Son gelişmeler, siber suç dalgasının sonuçlarının kapsamının genişlediğini ve kademeli bir etki yarattığını gösteriyor.
WIRED geçen ay, Snowflake veri hırsızlıklarının arkasındaki bilgisayar korsanlarının, çalıntı Snowflake kimlik bilgilerini, hırsız kötü amaçlı yazılımlar tarafından ele geçirilen kullanıcı adlarına, parolalara ve kimlik doğrulama belirteçlerine erişim satan karanlık web hizmetlerinden nasıl elde ettiğini açıkladı. Buna EPAM Systems adlı üçüncü taraf bir yüklenici aracılığıyla erişim elde etmek de dahildi.
Snowflake bu hafta, yöneticilerin artık hesap ele geçirme riskini azaltmak için tüm kullanıcılar için zorunlu çok faktörlü kimlik doğrulamayı (MFA) uygulayabileceğini duyurdu. Ayrıca, yakında yeni oluşturulan Snowflake hesaplarındaki tüm kullanıcılar için MFA gerektireceğini de söyledi.