A AT&T, provedora americana de serviços de telecomunicações, confirmou que atores de ameaças conseguiram acessar dados pertencentes a "quase todos" os seus clientes wireless, bem como clientes de operadores de rede móvel virtual (MVNOs) que utilizam a rede wireless da AT&T.
"Atores de ameaça acessaram ilegalmente um espaço de trabalho da AT&T em uma plataforma de cloud de terceiros e, entre 14 e 25 de Abril de 2024, exfiltraram arquivos contendo registros de interações de chamadas e mensagens de texto de clientes da AT&T que ocorreram entre aproximadamente 1 de Maio e 31 de Outubro de 2022, bem como em 2 de Janeiro de 2023", disse a empresa.
Isso inclui números de telefone com os quais um número wireless da AT&T ou MVNO interagiu – incluindo números de telefone de clientes de linha fixa da AT&T e clientes de outras operadoras, contagens dessas interações e duração agregada da chamada por dia ou mês.
Um subconjunto desses registros também continha um ou mais números de identificação de célula, potencialmente permitindo que os atores de ameaça triangulassem a localização aproximada de um cliente quando uma chamada foi feita ou uma mensagem de texto foi enviada.
A AT&T disse que alertará os clientes atuais e anteriores se suas informações estiverem envolvidas.
"Os atores de ameaça usaram dados de comprometimentos anteriores para mapear números de telefone para identidades", disse Jake Williams, ex-hacker da NSA e professor na IANS Research.
O que os atores de ameaça roubaram aqui são efetivamente registros de detalhes de chamadas (CDR), que são um tesouro na análise de inteligência porque podem ser usados para entender quem está falando com quem — e quando.
A lista de MVNOs da AT&T inclui Black Wireless, Boost Infinite, Consumer Cellular, Cricket Wireless, FreedomPop, FreeUp Mobile, Good2Go, H2O Wireless, PureTalk, Red Pocket, Straight Talk Wireless, TracFone Wireless, Unreal Mobile e Wing.
O nome do provedor de cloud de terceiros não foi divulgado pela AT&T, mas a Snowflake desde então confirmou que a violação foi conectada ao hack que impactou outros clientes, como Ticketmaster, Santander, Neiman Marcus e LendingTree, segundo a Bloomberg.
A empresa disse que tomou conhecimento do incidente em 19 de Abril de 2024 e imediatamente ativou seus esforços de resposta.
Também observou que está trabalhando com a aplicação da lei em seus esforços para prender os envolvidos e que "pelo menos uma pessoa foi detida".
A 404 Media relatou que um cidadão dos EUA de 24 anos, chamado John Binns, que foi anteriormente preso na Turquia em Maio de 2024, está conectado ao evento de segurança, citando três fontes não nomeadas.
Ele também foi indiciado nos EUA por infiltrar-se na T-Mobile em 2021 e vender seus dados de clientes.
No entanto, enfatizou que as informações acessadas não incluem o conteúdo de chamadas ou textos, informações pessoais como números de Seguro Social, datas de nascimento ou outras informações pessoalmente identificáveis.
"Enquanto os dados não incluem nomes dos clientes, muitas vezes há maneiras, usando ferramentas online publicamente disponíveis, de encontrar o nome associado a um número de telefone específico", disse em um arquivamento Form 8-K com a U.S.
Além disso, os clientes podem enviar uma solicitação para obter os números de telefone de suas chamadas e textos nos dados baixados ilegalmente.
A campanha cibercriminosa maliciosa mirando a Snowflake colocou em risco até 165 clientes, com a Mandiant, de propriedade do Google, atribuindo a atividade a um ator de ameaça impulsionado financeiramente apelidado de UNC5537 que engloba "membros baseados na América do Norte e colabora com um membro adicional na Turquia."
Os criminosos exigiram pagamentos que variam de $300.000 a $5 milhões em troca dos dados roubados.
O último desenvolvimento mostra que as consequências da série de crimes cibernéticos estão se expandindo em escopo e tiveram um efeito cascata.
A WIRED revelou no mês passado como os hackers por trás dos roubos de dados da Snowflake obtiveram credenciais Snowflake roubadas de serviços da dark web que vendem acesso a nomes de usuários, senhas e tokens de autenticação que são capturados por malware de roubo.
Isso incluiu obter acesso através de um contratado terceirizado chamado EPAM Systems.
Por sua parte, a Snowflake anunciou esta semana que os administradores agora podem impor autenticação multifator (MFA) obrigatória para todos os usuários para mitigar o risco de tomadas de conta.
Também disse que em breve exigirá MFA para todos os usuários em contas Snowflake recém-criadas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...