AT&T, tehdit gruplarının şirketin Snowflake hesabındaki çevrimiçi bir veritabanından yaklaşık 109 milyon müşterisine, yani mobil müşterilerinin neredeyse tamamına ait çağrı kayıtlarını çaldığı büyük bir veri ihlali konusunda uyarıyor.
Şirket, BleepingComputer’a verilerin Snowflake hesabından 14 Nisan – 25 Nisan 2024 tarihleri arasında çalındığını doğruladı.
AT&T, Cuma sabahı SEC’e yaptığı Form 8-K doldurma işleminde, çalınan verilerin neredeyse tüm AT&T mobil istemcilerinin ve mobil sanal ağ operatörlerinin (MVNO) 1 Mayıs – 31 Ekim 2022 tarihleri arasında ve 2 Ocak 2023’te yaptığı arama ve mesaj kayıtlarını içerdiğini bildirdi.
Çalınan veriler arasında şunlar yer alıyor:
- AT&T sabit hat müşterilerinin ve diğer operatörlerin müşterilerinin telefon numaraları.
- AT&T veya MVNO kablosuz numaralarının etkileşimde bulunduğu telefon numaraları.
- Etkileşim sayısı (örneğin, arama veya mesaj sayısı).
- Bir gün veya ay için toplam çağrı süresi.
- Kayıtların bir alt kümesi için bir veya daha fazla hücre sitesi tanımlama numarası.
Açığa çıkan kayıtlarda aramaların veya mesajların içeriği, müşteri isimleri veya Sosyal Güvenlik numarası veya doğum tarihi gibi herhangi bir kişisel bilgi bulunmuyor.
Erişilen kayıtlar, müşteri kimliklerini doğrudan ifşa eden hassas bilgiler içermese de, iletişim meta verileri, bunları kamuya açık bilgilerle ilişkilendirmek ve birçok durumda kimlikleri kolayca türetmek için kullanılabilir.
Şirket, ihlali öğrendikten sonra siber güvenlik uzmanlarıyla çalıştıklarını ve kolluk kuvvetlerine haber verdiklerini söylüyor. ABD Adalet Bakanlığı, AT&T’ye ulusal güvenlik ve kamu güvenliğine yönelik potansiyel riskler nedeniyle 9 Mayıs 2024 ve 5 Haziran 2024’te iki kez kamu bildirimini geciktirme izni verdi.
“AT&T, müşteri verilerinde olası bir ihlali tespit ettikten kısa bir süre sonra ve önemlilik kararını vermeden önce, olayı bildirmek için FBI ile iletişime geçti. İhlalin niteliğini değerlendirirken, tüm taraflar, ulusal güvenlik ve/veya kamu güvenliğine yönelik potansiyel riskler nedeniyle SEC Kuralı’nın 1.05(c) Maddesi uyarınca kamuya bildirimde bulunmanın olası bir gecikmesini görüştüler,” dedi FBI BleepingComputer’a.
“AT&T, FBI ve DOJ, FBI’ın soruşturma eşitliğini güçlendirmek ve AT&T’nin olay müdahale çalışmalarına yardımcı olmak için önemli tehdit istihbaratlarını paylaşırken, birinci ve ikinci gecikme sürecinde iş birliği içinde çalıştılar.”
“FBI, siber saldırı mağdurlarına yardım etmeyi önceliklendiriyor, kuruluşları siber olaydan önce yerel FBI saha ofisleriyle ilişki kurmaya ve ihlal durumunda erken aşamada FBI ile iletişime geçmeye teşvik ediyor.”
AT&T, olaya karışanların tutuklanması için kolluk kuvvetleriyle birlikte çalışıyor ve en azından bir kişinin yakalandığını bildiklerini belirtiyor.
AT&T, gelecekte yetkisiz erişim girişimlerini engellemek için ek siber güvenlik önlemleri uyguladığını ve bu olaydan etkilenen mevcut ve eski müşterilerini yakında bilgilendireceğine söz verdi.
Bu arada AT&T müşterileri, telefon numaralarının verilerinin ifşa olup olmadığını kontrol etmek ve çalınan numaralarıyla ilişkili verileri indirmek için bu SSS sayfasında verilen bağlantıları takip edebilirler.
AT&T, bugün itibarıyla erişilen verilerin kamuya açıklandığı yönünde bir kanıt bulunmadığını ve olayın, AT&T’nin bu yılın başlarında 51 milyon müşteriyi etkilediğini doğruladığı 2021 veri ihlaliyle ilgili olmadığını söylüyor.
Snowflake veri hırsızlığı saldırıları
AT&T, BleepingComputer’a, verilerin son zamanlarda gerçekleştirilen ve güvenliği ihlal edilmiş kimlik bilgileri kullanılarak gerçekleştirilen veri hırsızlığı saldırılarının bir parçası olarak Snowflake hesabından çalındığını doğruladı.
Snowflake, müşterilerinin büyük miktardaki veriler üzerinde veri ambarı ve analitiği gerçekleştirmelerine olanak tanıyan bulut tabanlı bir veritabanı sağlayıcısıdır.
Mandiant, geçen ay, ‘UNC5537’ olarak bilinen finansal amaçlı bir tehdit grubunun, bilgi çalma yazılımı aracılığıyla çalınan hesap bilgilerini kullanarak Snowflake müşterilerine yönelik çok sayıda saldırının arkasında olduğunu açıklamıştı.
Snowflake, milyonlarca insanı etkileyen veri ihlallerine yol açabilecek kolay ele geçirmelere karşı hesapları korumak için çalışma alanı yöneticileri için zorunlu çok faktörlü kimlik doğrulama (MFA) uygulama seçeneğini tanıttı.
AT&T’nin de dahil olduğu yüksek profilli kurbanlar listesine artık Advance Auto Parts, Pure Storage, Los Angeles Unified, Neiman Marcus, Ticketmaster ve Banco Santander de dahil.