Resim: Shutterstock.
Bir siber güvenlik firması, yaklaşık 23 milyon Amerikalının adlarını, adreslerini, e-posta adreslerini, telefon numaralarını, Sosyal Güvenlik Numaralarını ve doğum tarihlerini içeren büyük, benzersiz bir çalıntı veri setini ele geçirdiğini söylüyor. Firmanın verilerin analizi, verilerin mevcut ve eski müşterilere karşılık geldiğini gösteriyor. AT&T. Telekomünikasyon devi, verilerin kendilerine ait olmadığını söylemedi, ancak kayıtların kendi sistemlerinden gelmediğini ve başka bir şirketteki önceki bir veri olayına bağlı olabileceğini iddia ediyor.
Milwaukee merkezli siber güvenlik danışmanlığı Hold Security, popüler bir dark web dosya paylaşım sitesinde 1,6 gigabaytlık sıkıştırılmış bir dosyayı ele geçirdiğini söyledi. Arşivdeki en büyük öğe, “dbfull” adlı 3,6 gigabaytlık bir dosyadır ve 22,8 milyon benzersiz e-posta adresi ve 23 milyon benzersiz SSN dahil olmak üzere 28,5 milyon kayıt içerir. Veritabanında şifre yok.
Hold Security kurucusu Alex Holden verilerdeki bir dizi modelin AT&T müşterileriyle ilgili olduğunu öne sürdüğünü söyledi. Yeni başlayanlar için, ” ile biten e-posta adresleriatt.net”, veritabanındaki tüm adreslerin yüzde 13,7’sini oluşturuyordu. SBCGLobal.net ve Bellsouth.net – her iki AT&T şirketi – yüzde yedi daha oluşturuyor. Tersine, Gmail kullanıcılar, veri setinin yüzde 30’undan fazlasını oluşturuyordu. yahoo adresleri yüzde 24’ü oluşturuyor. E-posta alanında “[email protected]” veritabanı listesinde 10.000’den fazla giriş.
Hold Security, bu e-posta alan adlarının veri kümesindeki tüm alan adlarının %87’sini oluşturduğunu buldu. Yaklaşık %21’i AT&T müşterilerine aitti.
Holden’ın ekibi ayrıca e-postanın kullanıcı adı bölümünde bir takma ad içeren e-posta kayıtlarının sayısını da inceledi ve artı adresli 293 e-posta adresi buldu. Bunlardan 232’si, müşterinin bir AT&T mülküne kaydolduğunu belirten bir takma ad içeriyordu; Takma ad verilen e-posta adreslerinden 190’ı “+bu@”; 42 “+uverse@”, geniş bant İnternet içeren bir DirecTV/AT&T kuruluşuna garip bir şekilde özel bir referans. Eylül 2016’da AT&T, U-verse’i şu şekilde yeniden markaladı: AT&T İnternet.
Web sitesine göre AT&T İnternet, Alabama, Arkansas, California, Florida, Georgia, Indiana, Kansas, Kentucky, Louisiana, Michigan, Missouri, Nevada, Kuzey Carolina, Ohio, Oklahoma, Tennessee, Texas ve Wisconsin dahil olmak üzere 21 eyalette sunulmaktadır. . Veritabanında bir eyalet tanımlaması içeren kayıtların neredeyse tamamı bu 21 eyalete karşılık geliyordu; Hold Security, diğer tüm eyaletlerin kayıtların sadece yüzde 1.64’ünü oluşturduğunu tespit etti.
Görüntü: Güvenliği Tutun.
Bu veri tabanındaki kayıtların büyük çoğunluğu tüketicilere aittir, ancak girişlerin yaklaşık 13.000’i tüzel kişiler içindir. Holden, bu şirket adlarından 387’sinin “ATT” ile başladığını ve “ATT PVT XLOW” gibi çeşitli girişlerin 81 kez göründüğünü söyledi. Ve bu kuruluşların adreslerinin çoğu AT&T şirket ofisleridir.
Bu veri kaç yaşında? Bir ipucu, bu veri tabanında ortaya çıkan doğum tarihlerinde olabilir. Bu dosyada 2000’den sonraki doğum tarihlerine sahip çok az kayıt var.
Holden, KrebsOnSecurity’ye verdiği demeçte, “Bu istatistiklere dayanarak, 2000 yılının Mart ayında doğan önemli sayıda abone olduğunu görüyoruz,” dedi ve AT&T’nin yeni hesap sahiplerinin 18 yaşında veya daha büyük olmasını gerektirdiğini belirtti. “Bu nedenle, veri kümesinin muhtemelen Mart 2018’e yakın bir zamanda oluşturulmuş olması mantıklı.”
Bir de anormallik vardı: Holden, analistlerinden birinin soyadı 13 harfli bir AT&T müşterisi olduğunu ve AT&T faturasının her zaman soyadının aynı benzersiz yazım hatasına sahip olduğunu söyledi (bir harf daha eklediler). Analistin adının bu veritabanında aynı şekilde yanlış yazılmış olduğunu söyledi.
KrebsOnSecurity, büyük veri setini AT&T ile ve Hold Security’nin analizlerini paylaştı. AT&T, sonuçta, veritabanındaki tüm kişilerin bir noktada AT&T müşterisi olup olmadığını söylemeyi reddetti. Şirket, verilerin birkaç yıllık göründüğünü ve “müşteri olabilecek yüzdeyi hemen belirlemenin mümkün olmadığını” söyledi.
AT&T yaptığı yazılı açıklamada, “Bu bilgi bizim sistemlerimizden gelmiş gibi görünmüyor” dedi. “Başka bir şirketteki önceki bir veri olayına bağlı olabilir. Verilerin karanlık ağda birkaç yıl boyunca ortaya çıkmaya devam etmesi talihsiz bir durumdur. Ancak, müşteriler genellikle bu tür olaylardan sonra bildirim alırlar ve kimlik hırsızlığına ilişkin tavsiyeler tutarlıdır ve çevrimiçi olarak bulunabilir.”
Şirket, “başka bir şirketteki önceki bir veri olayı” ile ne demek istediklerini ayrıntılı olarak açıklamayı reddetti.
Ancak bu veritabanının, 19 Ağustos 2021’de bir hacker forumunda satışa çıkan bir veritabanıyla ilgili olması muhtemel görünüyor. Bu açık artırma “başlıklı” koştu.AT&T Veritabanı +70M (SSN/DOB)”ve kimlik bilgilerini veya API anahtarlarını çalmak için web sitelerinden ve geliştirici havuzlarından ödün verme konusunda uzun bir geçmişe sahip tanınmış bir tehdit aktörü olan ShinyHunters tarafından sunuldu.
Resim: BleepingBilgisayar
ShinyHunters müzayede için başlangıç fiyatını 200.000 $ olarak belirledi, ancak “flash” veya “şimdi satın al” fiyatını 1 milyon $ olarak belirledi. Müzayede ayrıca çalınan bilgilerin küçük bir örneğini de içeriyordu, ancak bu örnek artık mevcut değil. ShinyHunters satış zincirinin bulunduğu hacker forumu, Nisan ayında FBI tarafından ele geçirildi ve sözde yöneticisi tutuklandı.
Ancak, siber istihbarat firması Intel 471 tarafından kaydedildiği üzere müzayedenin önbelleğe alınmış kopyaları, ShinyHunters’ın satışı askıya almadan önce tüm veritabanı için 230.000 dolara kadar teklif aldığını gösteriyor.
ShinyHunters, 6 Eylül 2021’deki müzayede tartışmasında “Bu konu birkaç kez silindi” diye yazdı. “Bu nedenle açık artırma askıya alındı. AT&T, yeni satıcıları kabul eder etmez WHM’de satışa sunulacak.”
WHM ilklendirmesi, Beyaz Saray PazarıEkim 2021’de kapanan bir dark web pazarı.
BleepingComputer’s, “Birçok durumda, bir veritabanı satılmadığında, ShinyHunters onu hacker forumlarında ücretsiz olarak yayınlayacaktır” diye yazdı. Lawrence AbramsGeçen yıl açık artırma haberini veren ve bilgisayar korsanlarının iddiaları hakkında AT&T ile yüzleşen .
AT&T, Abrams’a verilerin kendi sistemlerinden gelmediğini söyleyerek benzer bir açıklama yaptı.
Abrams, “Verilerin üçüncü taraf bir ortaktan gelip gelmediği sorulduğunda, AT&T spekülasyon yapmamayı seçti” diye yazdı. AT&T, BleepingComputer’a “’Bu bilginin bizden gelmediği göz önüne alındığında, nereden geldiği veya geçerli olup olmadığı konusunda spekülasyon yapamayız’” dedi.
AT&T’nin reddine yanıt vermesi istendiğinde ShinyHunters, o sırada BleepingComputer’a “Kabul etmemeleri umurumda değil. Sadece satıyorum.”
1 Haziran 2022’de 21 yaşındaki bir Fransız, ShinyHunters üyesi olduğu iddiasıyla Fas’ta tutuklandı. Databreaches.net, sanığın Washington eyaletinden bir ABD federal savcısının talebi üzerine Interpol “Kırmızı Bülten” nedeniyle tutuklandığını bildirdi.
Databreaches.net, emrin, grubun Microsoft’un özel GitHub depolarından 500 GB’lık Microsoft kaynak kodunu sızdırdıklarını açıkladığı Mayıs 2020’de ShinyHunters hırsızlığına bağlanabileceğini öne sürüyor.
“Araştırmacılar, Shiny Hunters’ın 28 Mart 2020 civarında yaklaşık 1.200 özel depoya erişim kazandığını ve o zamandan beri güvence altına alınmış olduğunu değerlendiriyor” diyor. New Jersey Siber Güvenlik ve İletişim Entegrasyon HücresiNew Jersey İç Güvenlik ve Hazırlık Ofisi içindeki bir bileşen.
“İhlal büyük ölçüde önemsiz olarak reddedilse de, dizin listesinin bazı görüntüleri Azure, Office ve bazı Windows çalışma zamanları için kaynak kodu içeriyor gibi görünüyor ve yanlışlıkla dahil edilmiş olabilecek özel API anahtarlarına veya şifrelere erişimle ilgili endişeler dile getirildi. bazı özel depolarda” uyarısı devam ediyor. “Ayrıca, Shiny Hunters, karanlık web pazarlarını ihlal edilmiş veritabanlarıyla dolduruyor.”
Geçen ay, T mobil 2021’de 40 milyon mevcut ve eski müşteriyi etkileyen bir ihlalle ilgili birleştirilmiş bir toplu davayı çözmek için 350 milyon dolar ödemeyi kabul etti. İhlal, 16 Ağustos 2021’de, birinin T-Mobile’dan on milyonlarca SSN/DOB kaydı satmaya başladığı aynı hacker forumunda ShinyHunters’ın iddia edilen AT&T veritabanı için açık artırmalarını sadece üç gün sonra yayınlayacağı zaman ortaya çıktı.
T-Mobile, geçen yılki ihlalin “nasıl” olduğu hakkında pek fazla ayrıntı açıklamadı, ancak davetsiz misafir(ler)in “teknik sistemler hakkındaki bilgilerini, özel araçlar ve yeteneklerle birlikte test ortamlarımıza erişmek ve ardından test ortamlarımıza erişmek için kullandıklarını söyledi. müşteri verilerini içeren diğer BT sunucularına girmek için kaba kuvvet saldırıları ve diğer yöntemleri kullandı.”
Çalınan T-Mobile müşteri verilerine bağlı bir satış zinciri.