AT&T: נפרצנו, נגנבו נתונים של עשרות מיליוני לקוחות

רישומי השיחות והודעות הטקסט של עשרות מיליוני לקוחות AT&T, וכן לקוחות רבים שאינם של ענקית הטלקום, נחשפו על ידי האקרים בפריצת נתונים מסיבית לחברה – כך היא חשפה בסוף השבוע.

גורמי האיום הורידו את הנתונים מסביבת המחשוב של AT&T, "בפלטפורמת ענן של צד שלישי", כך מסרה החברה לרשות לניירות ערך בארצות הברית, ה-SEC, ביום ו'. לפי ההודעה, לחברה נודע בפעם הראשונה על גניבת הנתונים באפריל השנה.

AT&T אישרה כי "בהתבסס על חקירה, הנתונים כוללים קבצים שמכילים רישומים של שיחות וטקסטים של כמעט כל הלקוחות הסלולריים של החברה, לקוחות של מפעילי רשתות סלולר וירטואליות (MVNOs) שמשתמשות ברשת האלחוטית של AT&T, כמו גם לקוחות קוויים שלנו, שערכו שיחות עם אותם מספרים סלולריים בין מאי לאוקטובר 2022". מעט רשומות נתונים נוספות נגנבו מה-2 בינואר 2023.

"פריצה עצומה"

"הפריצה וקצירת הנתונים מ-AT&T הן עצומות, ובהחלט צריכות להדאיג כל לקוח.ה שהנתונים שלו.ה דלפו. לקוחות צריכים לנקוט משנה זהירות ולהיזהר מכל מתקפות הפישינג הפוטנציאליות או סוגים אחרים של הונאה. בהינתן סוג הנתונים שנגנב, פישינג ב-SMS עלול להיות נפוץ במיוחד", אמר חוקר במרכז האיומים של ראפיד7.

חוקרים אחרים ציינו כי אמנם, הנתונים שנקצרו לא מכילים תוכן של שיחות או הודעות SMS, אבל הם כן מכילים פרטים אחרים רבים בעלי ערך, כמו רשומות שמזהות את מספרי הטלפון של לקוחות הסלולר של AT&T, או לקוחות של מפעילי רשתות סלולר וירטואליות ש-'רוכבים' על הרשת שלה. אלה נגנבו, ובהיקף עצום".

החברה מסרה שהיא לא מאמינה ש-"מידע מזהה אישי, כגון מספרי תעודת זהות ותאריכי לידה, הושפעו מהתקרית, וכי הוא פורסם". לדבריה, פעילות החברה עצמה לא הושפעה מהאירוע.

בהודעת AT&T ל-SEC ציינה החברה שהיא הפעילה אמצעי הגנת סייבר נוספים בתגובה לתקרית, כולל סגירת נקודת הגישה הבלתי חוקית. AT&T ציינה כי תודיע ללקוחותיה שהם נפגעו – הנוכחיים ואלה שהיו שלה בעבר.

לפי AT&T, לפחות אדם אחד המעורב בתקרית הסייבר נמצא במעצר. ה-FBI סירב להגיב כשנשאל על כך. על פי חלק מהדיווחים, ענקית הטלקום רצתה להודיע כבר באפריל על האירוע, אולם הבולשת ומשרד המשפטים של ארצות הברית מנעו ממנה לעשות זאת, כדי להמשיך בחקירה סמויה ולהעריך את היקף הנזק והחשיפה.

האירוע לא קשור לתקרית סייבר קודמת ב-AT&T

מומחים ציינו כי האירוע לא קשור לתקרית סייבר קודמת שהחברה חוותה. אז, במרץ-אפריל השנה, 73 מיליון רישומי לקוחות ולקוחות לשעבר שלה פורסמו ברשת.

דובר AT&T, אלכס ביירס, אמר בסוף השבוע האחרון כי "מדובר באירוע סייבר חדש לחלוטין, שאין לו כל קשר, בשום צורה, לתקרית שנחשפה במרץ". הוא ציין שאמנם אין להאקרים יכולת לדעת את פרטי ותוכן שיחות הלקוחות, אולם חלק מהנתונים שנקצרו יגלו מה הייתה התדירות של השיחות בין הלקוחות השונים.

דיווחים: ספקית הענן – סנואופלייק

לפי חלק מהדיווחים, ספקית הענן מצד שלישי שהמתקפה החלה בה היא סנואופלייק. אחד החוקרים ציין כי "ככל הנראה, ההאקרים ניצלו פרצה שהייתה במאגר נתוני AT&T המאוחסנים בסנואופלייק – שתוקפו פג". חוקר אחר ציין ש-"יותר מ-100 מיליון נתונים של לקוחות דלפו מהחשבונות של ספקית הענן. זו עלולה להתגלות כאחת מפריצות הנתונים הגדולות ביותר שאירעו".

מומחים הזכירו כי פלטפורמת סנואופלייק הייתה כר לכמה אירועי גניבות נתונים, ביניהם זה שהיה בטיקטמאסטר השנה. באירוע זה, יותר מ-160 ארגונים, לקוחות של ענקית הענן, קיבלו הודעה שהם עלולים להיפגע מהתקרית. חוקרי מנדיאנט מבית גוגל זיהו את ההאקרים כחברי קבוצת פריצה שהמניע שלה כלכלי בשם UNC5537. אלה הציעו את הנתונים הגנובים למכירה בפורומים של פושעי סייבר בדארקנט. לפי כמה מהחוקרים, "חברי UNC5537 פוגעים באופן שיטתי בלקוחות סנואופלייק – תוך שימוש באישורי לקוחות גנובים".

ביוני, ג'ייק וויליאמס, לשעבר בכיר ב-NSA וכיום יועץ וחוקר סייבר, קרא לארגונים לערוך מיפוי של כל המידע שיש להם בענן של סנואופלייק. "בין אם העסק הוא לקוח של החברה ובין אם לא, צוותי אבטחת המידע בארגון צריכים לפנות לספקיות השירותים השונות, כולל ספריות ענן, כדי לוודא שהם מודעים לבעיה זו". חוקרים אחרים ציינו כי באירועי סייבר רבים הקשורים לספקית הענן האמורה, לא הופעל אימות רב גורמי, או שהוא לא היה בנמצא – כלומר, "כל שנדרש כדי להשיג גישה מאומתת היה רק שם משתמש וסיסמה חוקיים". בראד ג'ונס, מנהל אבטחת המידע של סנואופלייק, אמר ביוני כי "החברה מפתחת תוכנית לדרוש מלקוחותיה ליישם בקרות אבטחה מתקדמות, כולל אימות רב גורמי ואכיפת מדיניות אבטחה רשתית".