Hedefli dinlemelerden toplu gözetleme ağlarına kadar, telefon şirketleri onlarca yıldır gizlilik endişelerinin merkezinde yer alıyor ve spot ışıklarındaki zamanları henüz bitmedi. Cuma günü, telekom devi AT&T yakın zamanda “neredeyse tüm” müşterilerinin arama ve kısa mesaj kayıtlarını etkileyen bir veri ihlali yaşadığını duyurdu. Şirket, yaklaşık 110 milyon kişiye etkilendiklerini bildirme sürecinde.
AT&T, ABD Menkul Kıymetler ve Borsa Komisyonu’na yaptığı başvuruda, veri ihlalini 19 Nisan’da öğrendiğini söyledi. Saldırganlar, 14 Nisan ile 25 Nisan arasında verileri sızdırdı. Şirket, SEC’e yaptığı başvuruda, ABD Adalet Bakanlığı’nın ihlalin 9 Mayıs’ta ve ardından 5 Haziran’da, soruşturma tamamlanana kadar ertelenmiş şekilde açıklanmasına izin verdiğini söyledi. AT&T, “olaya karışanları tutuklamak için kolluk kuvvetleriyle birlikte çalıştığını” ekledi. Şimdiye kadar “en az bir kişi yakalandı.”
“Evet, bu gerçekten kötü,” diyor siber güvenlik danışmanlık şirketi Hunter Strategy’nin araştırma ve geliştirme başkan yardımcısı Jake Williams. “Tehdit aktörlerinin burada çaldıkları şey esasen veri kayıtlarıdır. Bunlar istihbarat analizinde altın madeni çünkü birinin ağları anlamasını sağlarlar; kimin kiminle ve ne zaman konuştuğunu. Ve tehdit aktörleri telefon numaralarını kimliklere eşlemek için önceki uzlaşmalardan gelen verilere sahiptir. Ancak bir telefon numarası için tanımlayıcı veriler olmadan bile, kapalı ağlar; numaraların sadece “Aynı ağdaki diğer insanlarla iletişim kurmak—neredeyse her zaman ilgi çekicidir.”
Olay yalnızca muazzam ölçeği ve erişimi nedeniyle değil, aynı zamanda AT&T’nin saldırganların kuruluşların Snowflake bulut hesaplarını tehlikeye atması sonucu gerçekleşen şaşırtıcı veri hırsızlıklarının sonuncusu olduğunu söylemesi nedeniyle de önemlidir. Snowflake bir veri ambarı platformudur ve saldırganlar son aylarda müşterilerinin hesap kimlik bilgilerini toplayarak Ticketmaster, Santander bankası ve LendingTree’nin QuoteWizard’ı da dahil olmak üzere yaklaşık 165 Snowflake müşterisinden yüz milyonlarca kayıt çaldılar.
AT&T verileri hem sabit hat hem de hücresel hesaplardan geliyor ve 1 Mayıs 2022’den 31 Ekim 2022’ye kadar uzanıyor. Daha az sayıda, açıklanmayan kişinin de ihlalde çalınan 2 Ocak 2023’ten itibaren kayıtları vardı. Şirket Cuma günü veri hazinesinin “arama veya metin içeriği içermediğini” ve iletişimlerin tarih ve saatini içermediğini söyledi. Ancak saldırganlar telefon numaralarını ve kimin kimi aradığı, arama süreleri ve bir müşterinin toplam arama ve metin sayımları dahil olmak üzere aramalar ve metinler hakkında çok miktarda sözde “meta veri”yi ele geçirdiler. Hazinede ayrıca bazı hücre sitesi tanımlama numaraları da bulunuyor; esasen bir cep telefonunun arama veya metin yaptığında veya aldığında konumunu yaklaşık olarak belirlemek için kullanılabilen hücre kulesi verileri.
Veriler, AT&T ile daha büyük şirketin ağlarını ve altyapısını kendi hizmetleri için kullanmak üzere sözleşme yapan, “mobil sanal ağ operatörleri” olarak bilinen telefon operatörlerinin müşterileri olan kişilerin bazı kayıtlarını içerir. Ve en önemlisi, çalınan hazine, ilgili zaman aralıklarında bir AT&T müşterisiyle iletişim kurduklarında AT&T ile hiçbir ilişkisi olmayan kişileri ifşa eder.