AT&T, Cuma günü önemli bir güvenlik ihlalinin on milyonlarca müşterisinin çağrı kayıtlarını tehlikeye attığını kabul etti. Bu ifşanın ardından, telekom devinin AT&T veri ihlalinden sorumlu hacker’a çalınan tüm verileri silmek için yaklaşık 370.000 dolar ödediğine dair yeni raporlar ortaya çıktı.
Wired’ın haberine göre, ödeme mayıs ayında kripto para birimi ile yapıldı ve anlaşmanın bir parçası olarak hacker, verilerin silindiğini gösteren bir video paylaştı.
AT&T Veri İhlali: Görüşmeler ve Ödeme Ayrıntıları
Wired kendi soruşturmasını yürüttü ve ödeme işleminin gerçekleştiğini doğruladı. Kötü şöhretli ShinyHunters grubunun bir parçası olduğuna inanılan hacker, başlangıçta 1 milyon dolar talep etti ancak sonunda bu miktarın yaklaşık üçte biri kadar bir miktara razı oldu. Ödeme, AT&T ile hacker arasında aracı olarak görev yapan ve yalnızca Reddington olarak bilinen bir güvenlik araştırmacısı aracılığıyla kolaylaştırıldı. Reddington ayrıca müzakerelerdeki rolü için bir ücret aldı.
Reddington, silinme videosunu Wired ile paylaşarak, çalınan veri setinin tamamen silindiğini gösterdiğine güvendiğini ifade etti. Video, silinmenin kanıtı olarak AT&T’ye sağlandı. Bilgisayar korsanı, AT&T’den aldığı fonları, kripto para birimini çeşitli borsalar ve cüzdanlar aracılığıyla aklamak için kullandı.
AT&T Veri İhlalinin Arka Planı
AT&T’deki veri ihlali ilk olarak Nisan ortasında Reddington’ın Türkiye’de yaşayan ve John Erin Binns olduğuna inanılan bir Amerikalı hacker tarafından aranmasıyla gün yüzüne çıktı. Binns, AT&T çağrı kayıtlarını elde ettiğini ve Reddington ile örnekleri paylaştığını iddia etti; Reddington da bunların gerçekliğini doğruladı. Binns ayrıca Snowflake tarafından barındırılan zayıf güvenlikli bir bulut depolama hesabı aracılığıyla milyonlarca diğer AT&T müşterisinin çağrı ve mesajlaşma kayıtlarına eriştiğini belirtti. Reddington ihlali güvenlik firması Mandiant’a bildirdi ve ardından firma AT&T’yi bilgilendirdi.
AT&T, Menkul Kıymetler ve Borsa Komisyonu’na (SEC) yaptığı düzenleyici bir başvuruda, çalınan verilerin arama ve kısa mesaj meta verilerini içerdiğini, ancak iletişimlerin içeriğini veya telefon sahiplerinin adlarını içermediğini açıkladı. Çalınan veriler, neredeyse tüm AT&T hücresel müşterilerinin ve 1 Mayıs 2022 ile 31 Ekim 2022 arasında ve 2 Ocak 2023’te onlarla iletişim kuranların telefon numaralarını kapsıyordu. Veri kümesi ayrıca aramaların tarihlerini ve sürelerini ve bazı kayıtlar için telefon kullanıcılarının genel konumlarını ortaya çıkarabilen hücresel site kimlik numaralarını içeriyordu.
ShinyHunters grubu, güvenli olmayan Snowflake bulut depolama hesaplarından yapılan bir dizi veri hırsızlığıyla ilişkilendirildi. AT&T, Ticketmaster, Santander, LendingTree ve Advance Auto Parts gibi kurbanları da içeren bu saldırı çılgınlığından etkilenen 150’den fazla şirketten biri. Bilgisayar korsanları, bu hesaplarda çok faktörlü kimlik doğrulamanın olmamasından yararlanarak, çalınan kimlik bilgileriyle bunlara erişti ve verileri sömürdü.
AT&T, SEC dosyasında ihlali ilk olarak Nisan ayında öğrendiğini ancak Adalet Bakanlığı tarafından olası ulusal güvenlik veya kamu güvenliği endişeleri nedeniyle bildirimi geciktirme muafiyetleri verildiğini açıkladı. FBI, AT&T’nin saldırıyı keşfetmesinden kısa bir süre sonra bilgilendirildi ve olası zararı değerlendirmek için verileri inceledi.
AT&T ihlalinin arkasında olduğuna inanılan hacker John Erin Binns, 2021’de T-Mobile’dan alakasız bir veri hırsızlığı nedeniyle Mayıs ayında Türkiye’de tutuklandı. Binns’in yasal sorunları var ve ABD yetkililerini kendisine karşı çeşitli komplolar kurmakla suçladı. 2022’de Binns, 40 milyondan fazla kişinin hassas bilgilerinin çalınması ve satılmasıyla ilgili T-Mobile saldırısıyla ilgili 12 suçlamayla suçlandı. Yasal sorunlarına rağmen Binns’in AT&T ihlali de dahil olmak üzere bilgisayar korsanlığı faaliyetlerine devam ettiği iddia edildi.
Gelecekteki Riskler ve Önlemler
Çalınan verilerin ödenmesine ve silinmesine rağmen, verilerin diğer kopyaları mevcutsa bazı AT&T müşterileri hala risk altında olabilir. Ödemeyi aldığı iddia edilen hacker, Binns’in verilerin örneklerini başkalarıyla paylaştığını iddia ediyor, ancak bu alıntıları kaç kişinin aldığı ve bunlarla ne yaptıkları belirsizliğini koruyor.
Cyber Express Ekibi, yorum almak için AT&T yetkililerine ulaştı ancak bu haberin yazıldığı tarih itibarıyla henüz resmi bir yanıt alınmadı.
AT&T’nin bilgisayar korsanına ödeme yapma kararı, şirketlerin veri ihlalleriyle başa çıkarken karşı karşıya kaldıkları karmaşık ve çoğu zaman zorlu seçimleri gözler önüne seriyor.