AT&T Şirketi bugün, yeni bir veri ihlalinin yaklaşık 110 milyon kişinin telefon görüşmesi ve kısa mesaj kayıtlarını ifşa ettiğini açıkladı – neredeyse tüm müşterileri. AT&T, “ulusal güvenlik ve kamu güvenliği endişeleri” nedeniyle olayı ifşa etmeyi ertelediğini söyledi ve kayıtların bazılarının bir aramanın nerede yapıldığını veya kısa mesajın nerede gönderildiğini belirlemek için kullanılabilecek veriler içerdiğini belirtti. AT&T ayrıca müşteri kayıtlarının yalnızca bir kullanıcı adı ve parola ile korunan bir bulut veritabanında ifşa edildiğini kabul etti (çok faktörlü kimlik doğrulaması gerekmiyor).
Düzenleyici bir dosyalama ile ABD Güvenlik ve Değişim Komisyonu AT&T bugün, siber saldırganların Nisan ayında üçüncü taraf bir bulut platformundaki AT&T çalışma alanına eriştiğini ve 1 Mayıs – 31 Ekim 2022 tarihleri arasındaki ve 2 Ocak 2023’teki müşteri arama ve mesaj etkileşimlerini içeren dosyaları indirdiğini bildirdi.
Şirket, çalınan verilerin arasında AT&T’nin hizmetlerini yeniden satan mobil sağlayıcılara ait arama ve mesaj kayıtlarının da bulunduğunu, ancak arama veya mesaj içeriklerinin, Sosyal Güvenlik numaralarının, doğum tarihlerinin veya kişisel olarak tanımlanabilir diğer bilgilerin bulunmadığını belirtti.
Ancak şirket, çalınan kayıtların bir alt kümesinin, aboneye en yakın hücresel iletişim kulelerinin konumuna ilişkin bilgiler içerdiğini, bu verilerin söz konusu kısa mesajları veya telefon görüşmelerini başlatan veya alan müşteri cihazının yaklaşık konumunu belirlemek için kullanılabileceğini söyledi.
AT&T, “Veriler müşteri adlarını içermese de, genellikle halka açık çevrimiçi araçları kullanarak belirli bir telefon numarasıyla ilişkili adı bulmanın yolları vardır” dedi.
AT&T, ihlali 19 Nisan’da öğrendiğini ancak federal araştırmacıların talebi üzerine açıklamayı ertelediğini söyledi. Şirketin SEC açıklaması, ihlalle bağlantılı olarak en az bir kişinin yetkililer tarafından gözaltına alındığını söylüyor.
KrebsOnSecurity ile paylaşılan yazılı açıklamada FBI, AT&T’den etkilenen müşterilere bildirimde bulunmayı geciktirmesini istediğini doğruladı.
“AT&T, müşteri verilerinde olası bir ihlali tespit ettikten kısa bir süre sonra ve önemlilik kararını vermeden önce, olayı bildirmek için FBI ile iletişime geçti,” FBI bildirisinde şöyle deniyor: “İhlalin niteliğini değerlendirirken, tüm taraflar, ulusal güvenlik ve/veya kamu güvenliği için olası riskler nedeniyle SEC Kuralı’nın 1.05(c) Maddesi uyarınca kamuya bildirimde bulunmada olası bir gecikmeyi görüştüler. AT&T, FBI ve DOJ, FBI soruşturma eşitliklerini güçlendirmek ve AT&T’nin olay müdahale çalışmalarına yardımcı olmak için temel tehdit istihbaratını paylaşırken, birinci ve ikinci gecikme süreci boyunca iş birliği içinde çalıştılar.”
Techcrunch, bulut veri sağlayıcısının 160’tan fazla müşterisini ilgilendiren ve hala devam eden bir veri ihlali sonucu müşteri verilerinin çalındığını söyleyen bir AT&T sözcüsüne atıfta bulundu kar tanesi.
Bu yılın başlarında kötü niyetli bilgisayar korsanları, birçok büyük şirketin Snowflake sunucularına büyük miktarda değerli ve hassas müşteri verisi yüklediğini ve bu sırada Snowflake hesaplarını yalnızca bir kullanıcı adı ve parola ile koruduğunu tespit etti.
Wired geçen ay, Snowflake veri hırsızlıklarının arkasındaki bilgisayar korsanlarının, bilgi çalan kötü amaçlı yazılımlar tarafından sızdırılan kullanıcı adlarına, parolalara ve kimlik doğrulama belirteçlerine erişim satan karanlık web hizmetlerinden çalınan Snowflake kimlik bilgilerini nasıl satın aldıklarını bildirdi. Snowflake ise artık tüm yeni müşterilerin çok faktörlü kimlik doğrulamayı kullanmasını zorunlu kılıyor.
Snowflake sunucularından milyonlarca müşteri kaydı çalınan diğer şirketler arasında şunlar yer alıyor: İleri Otomobil Parçaları, Tüm eyaletler, Anheuser-Busch, Los Angeles Birleşik, Mitsubishi, Neiman Marcus, İlerici, Saf Depolama, Santander Bankası, Devlet çiftliğiVe Bilet ustası.
AT&T, bu yılın başlarında, yaklaşık 7,6 milyon mevcut AT&T hesap sahibini ve yaklaşık 65,4 milyon eski hesap sahibini ilgilendiren 2018 tarihli bir veri ihlalini nihayet kabul etmesinin ardından milyonlarca müşterisinin şifrelerini sıfırladı.
Mark Burnett bir uygulama güvenlik mimarı, danışman ve yazardır. Burnett, en son AT&T ihlalinde çalınan verilerin tek gerçek kullanımının kimin kiminle ve kaç kez iletişim kurduğunu bilmek olduğunu söyledi.
“AT&T’nin TÜM müşteri arama ve metin kayıtlarını ihlal etmesiyle ilgili beni en çok endişelendiren şey, bunun ana veritabanlarından biri olmaması; kimin kiminle iletişime geçtiğine dair bir meta veri olması,” diye yazdı Burnett Mastodon’da. “Bu da beni, zaman damgaları veya adları olmayan arama kayıtlarının ne için kullanıldığını merak ettiriyor.”
Bu kadar çok büyük şirketin, bu kadar az güvenlik korumasıyla bu kadar hassas müşteri verisini saklamanın bir şekilde kabul edilebilir olduğuna inanmaya devam etmesinin nedeni belirsizliğini koruyor. Örneğin, Advance Auto Parts, ifşa edilen verilerin eski çalışanlar veya iş başvurusunda bulunan 2,3 milyon kişinin tam adlarını, Sosyal Güvenlik numaralarını, ehliyetlerini ve devlet tarafından verilmiş kimlik numaralarını içerdiğini söyledi.
Bunun nedeni, bu ihlallerden sonra kaçınılmaz olarak ortaya çıkan toplu davalar dışında, özensiz güvenlik uygulamalarından sorumlu çok az holding şirketinin olması olabilir. AT&T, SEC’e bu olayın AT&T’nin mali durumu veya operasyon sonuçları üzerinde önemli bir etki yaratmasının muhtemel olmadığına inandığını söyledi. AT&T, son çeyreğinde 30 milyar dolardan fazla gelir bildirdi.