Hackers roubaram "quase todos" os registros de chamadas da AT&T durante seis meses

Metadados de "quase todos" os registros de chamadas e textos feitos por clientes da AT&T durante um período de seis meses em 2022 foram roubados por hackers que violaram a plataforma de armazenamento de dados da empresa de telecomunicações em abril.

A AT&T apresentou documentos à Securities and Exchange Commission (SEC) na sexta-feira, dizendo que a empresa tomou conhecimento do incidente em 19 de abril. A empresa confirmou à Recorded Future News que a violação ocorreu por meio da plataforma de nuvem de terceiros Snowflake, uma gigante do armazenamento de dados que tem sido assediada por hackers que têm como alvo alguns dos clientes mais proeminentes da empresa e vazaram documentos sobre centenas de milhões de pessoas.

Uma investigação revelou que o hacker roubou arquivos da conta da AT&T na Snowflake entre 14 e 25 de abril.

"O incidente foi limitado a um espaço de trabalho da AT&T na plataforma de nuvem da Snowflake e não afetou a rede da AT&T", disse um porta-voz da empresa.

Quando perguntado por que o hacker conseguiu acessar a conta da Snowflake por quase uma semana depois que a AT&T descobriu o problema, o porta-voz disse que "levou tempo para investigar a alegação de uma violação, determinar sua origem, isolar os dados afetados e fechar o ponto de acesso ilegal".

O porta-voz disse que os hackers roubaram "metadados agregados" sobre chamadas ou mensagens de texto, e não o conteúdo das conversas. A AT&T tem o maior número de assinantes de serviços sem fio nos EUA, superando de longe suas rivais Verizon e T-Mobile.

Um relatório anual de 2022 mostrou que cerca de 109 milhões de pessoas tiveram suas contas afetadas pelo incidente.

A gigante das telecomunicações acredita que o hacker roubou "arquivos contendo registros da AT&T de chamadas de clientes e interações de texto" aproximadamente do início de maio de 2022 até o final de outubro, bem como em 2 de janeiro de 2023.

A violação envolveu "registros de chamadas e textos de quase todos os clientes sem fio da AT&T e clientes de operadoras de rede virtual móvel (MVNO) que usam a rede sem fio da AT&T".

"Esses registros identificam os números de telefone com os quais um número sem fio da AT&T ou MVNO interagiu durante esses períodos, incluindo números de telefone de clientes de telefonia fixa da AT&T e clientes de outras operadoras, contagens dessas interações e duração agregada da chamada para um dia ou mês", disse a empresa no arquivamento da SEC.

"Para um subconjunto de registros, um ou mais números de identificação de sites de celular também estão incluídos. Embora os dados não incluam nomes de clientes, muitas vezes há maneiras, usando ferramentas on-line disponíveis publicamente, de encontrar o nome associado a um número de telefone específico".

A AT&T se comprometeu a notificar clientes atuais e antigos e disse que fechou o ponto "de acesso ilegal". Pelo menos uma pessoa envolvida no roubo foi presa, disse a empresa no processo.

O FBI disse que a AT&T entrou em contato com eles após identificar a violação. O Departamento de Justiça concedeu à empresa uma isenção das exigências de relatórios públicos devido aos "riscos potenciais à segurança nacional e/ou à segurança pública", disse o FBI.

Um porta-voz do FBI disse que a agência trabalhou com a AT&T e o Departamento de Justiça em dois atrasos de divulgação separados, a fim de ajudar a empresa de telecomunicações na resposta ao incidente.

A AT&T é uma das primeiras empresas a reconhecer publicamente a obtenção de uma isenção do Departamento de Justiça que lhes permite adiar a apresentação de documentos à SEC. A medida que permite atrasos foi uma parte fundamental das novas e controversas regras da SEC que exigem a divulgação de incidentes cibernéticos.

A AT&T confirmou que obteve com sucesso atrasos do DOJ em 9 de maio e 5 de junho e que usou o tempo extra para trabalhar com as agências de aplicação da lei "em seus esforços para prender os envolvidos no incidente".

Um porta-voz da Cybersecurity and Infrastructure Security Agency (CISA) disse que também está trabalhando com a AT&T para avaliar o impacto. O porta-voz também pediu às organizações que apliquem a autenticação multifator - algo que os especialistas apontaram como uma preocupação, considerando que os hackers usaram apenas informações de login roubadas para acessar as contas da Snowflake.

O incidente de abril é o mais recente em uma série de ataques à AT&T envolvendo dados de clientes. No início deste ano, a empresa confirmou que um conjunto de dados com informações de 73 milhões de clientes atuais e antigos é legítimo, quase duas semanas depois que um hacker o ofereceu em um mercado criminoso da dark web.

Em 2023, outros 9 milhões de clientes foram afetados por um problema de segurança e a empresa teve que resolver uma vulnerabilidade que teria permitido que qualquer pessoa assumisse o controle da conta de alguém no site ATT.com apenas sabendo seu número de telefone e CEP.

Em sua declaração à SEC, a empresa disse que não acredita que o último incidente terá qualquer impacto sobre sua condição financeira.

Pelo menos 165 clientes da Snowflake foram supostamente atacados por hackers que roubaram informações de login de contas de funcionários na plataforma. Entre os afetados estão Ticketmaster, Advance Auto Parts, um dos maiores distritos escolares dos EUA, Neiman Marcus, Santander, LendingTree e outros.

Via - TRM