AT&T, geçen ay internette yayınlanan milyonlarca müşteri kaydının gerçek olduğunu doğruladıktan sonra ABD eyalet yetkililerini ve düzenleyicilerini bir güvenlik olayı konusunda bilgilendirmeye başladı.
İçinde yasal olarak gerekli bir dosyalama ABD telekomünikasyon devi, Maine başsavcılığıyla birlikte, Maine’deki yaklaşık 90.000 kişi de dahil olmak üzere 51 milyondan fazla kişiye kişisel bilgilerinin veri ihlalinde ele geçirildiğini bildiren mektuplar gönderdiğini söyledi.
ABD’nin en büyük telekomünikasyon şirketi AT&T, ihlal edilen verilerin müşterilerin tam adını, e-posta adresini, posta adresini, doğum tarihini, telefon numarasını ve Sosyal Güvenlik numarasını içerdiğini söyledi.
AT&T’ye göre sızdırılan müşteri bilgileri 2019 ortası ve öncesine kadar uzanıyor, ancak kayıtlar 7,9 milyondan fazla mevcut AT&T müşterisine ilişkin geçerli veriler içeriyordu.
AT&T, sızdırılan verilerin bir alt kümesinin ilk kez çevrimiçi olarak ortaya çıkmasından yaklaşık üç yıl sonra harekete geçti ve bu da verilerin anlamlı bir şekilde analiz edilmesini engelledi. Sızan 73 milyon müşteri kaydının tamamı geçen ay çevrimiçi olarak boşaltılarak müşterilerin verilerinin gerçek olduğunu doğrulamalarına olanak tanındı. Bazı kayıtların kopyaları vardı.
Sızan veriler aynı zamanda müşteri hesaplarına erişime izin veren şifrelenmiş hesap şifrelerini de içeriyordu.
Veri kümesinin tamamı yayınlandıktan kısa bir süre sonra bir güvenlik araştırmacısı TechCrunch’a sızdırılan verilerde bulunan şifreli şifrelerin deşifre edilmesinin kolay olduğunu bildirdi. AT&T, TechCrunch’ın 26 Mart’ta AT&T’yi müşterilere yönelik risk konusunda uyarmasının ardından bu hesap şifrelerini sıfırladı. TechCrunch, AT&T etkilenen müşteri şifrelerini sıfırlama işlemini tamamlayana kadar hikayesini sürdürdü.
AT&T sonunda sızdırılan verilerin yaklaşık 65 milyon eski müşterisi de dahil olmak üzere müşterilerine ait olduğunu kabul etti.
Çok sayıda insanı etkileyen veri ihlalleri yaşayan şirketlerin, eyalet veri ihlali bildirim yasaları uyarınca olayı ABD başsavcılarına bildirmeleri gerekiyor. AT&T, Maine’de sunduğu bildirimde, etkilenen müşterilere kimlik hırsızlığı ve kredi izleme olanağı sunduğunu söyledi.
AT&T sızıntının kaynağını hâlâ tespit edemedi.