Amerikalı telekomünikasyon servis sağlayıcısı AT&T, tehdit unsurlarının AT&T’nin kablosuz ağını kullanan “neredeyse tüm” kablosuz müşterilerinin yanı sıra mobil sanal ağ operatörlerinin (MVNO) müşterilerine ait verilere erişmeyi başardığını doğruladı.
“Tehdit aktörleri, üçüncü taraf bir bulut platformundaki AT&T çalışma alanına yasa dışı bir şekilde erişti ve 14 Nisan ile 25 Nisan 2024 arasında, yaklaşık olarak 1 Mayıs ile 31 Ekim 2022 arasında ve ayrıca 2 Ocak 2023’te gerçekleşen müşteri arama ve metin etkileşimlerinin AT&T kayıtlarını içeren dosyaları sızdırdı,” söz konusu.
Bu, bir AT&T veya MVNO kablosuz numarasının etkileşimde bulunduğu telefon numaralarını içerir; AT&T sabit hat müşterilerinin ve diğer operatörlerin müşterilerinin telefon numaraları, bu etkileşimlerin sayıları ve bir gün veya ay için toplam çağrı süresi dahil.
Bu kayıtların bir alt kümesi ayrıca bir veya daha fazla kayıt içeriyordu hücre sitesi tanımlama numaralarıBu, tehdit aktörlerinin bir arama yapıldığında veya bir kısa mesaj gönderildiğinde müşterinin yaklaşık konumunu üçgenlemesine olanak tanıyabilir. AT&T, bilgilerinin söz konusu olması durumunda mevcut ve eski müşterileri uyaracağını söyledi.
“Tehdit aktörleri, telefon numaralarını kimliklerle eşleştirmek için önceki uzlaşmalardan gelen verileri kullandılar,” dedi eski NSA hacker’ı ve IANS Araştırma’da öğretim görevlisi olan Jake Williams. “Tehdit aktörlerinin burada çaldığı şey, istihbarat analizinde altın madeni olan çağrı verisi kayıtlarıdır (CDR), çünkü kimin kiminle konuştuğunu ve ne zaman konuştuğunu anlamak için kullanılabilirler.”
AT&T’nin MVNO listesinde Black Wireless, Boost Infinite, Consumer Cellular, Cricket Wireless, FreedomPop, FreeUp Mobile, Good2Go, H2O Wireless, PureTalk, Red Pocket, Straight Talk Wireless, TracFone Wireless, Unreal Mobile ve Wing yer alıyor.
AT&T, üçüncü taraf bulut sağlayıcısının adını açıklamadı ancak Snowflake, ihlalin Ticketmaster, Santander, Neiman Marcus ve LendingTree gibi diğer müşterileri de etkileyen saldırıyla bağlantılı olduğunu doğruladı. Bloomberg.
Şirket, 19 Nisan 2024’te olaydan haberdar olduğunu ve derhal müdahale çabalarını harekete geçirdiğini söyledi. Ayrıca, olaya karışanları tutuklama çabalarında kolluk kuvvetleriyle birlikte çalıştığını ve “en az bir kişinin yakalandığını” belirtti.
404 Medya bildirildi John Binns adında 24 yaşında bir ABD vatandaşının, daha önce tutuklanmış Mayıs 2024’te Türkiye’de, üç isimsiz kaynağa atıfta bulunarak güvenlik olayıyla bağlantılı. Ayrıca 2021’de T-Mobile’a sızmak ve müşteri verilerini satmakla suçlandı.
Ancak erişilen bilgilerin arama veya kısa mesajların içeriğini, Sosyal Güvenlik numarası, doğum tarihi veya diğer kişisel tanımlayıcı bilgileri içermediği vurgulandı.
“Veriler müşteri adlarını içermese de, genellikle halka açık çevrimiçi araçları kullanarak belirli bir telefon numarasıyla ilişkili adı bulmanın yolları vardır,” söz konusu ABD Menkul Kıymetler ve Borsa Komisyonu’na (SEC) Form 8-K başvurusunda bulunulması.
Ayrıca kullanıcıları yalnızca güvenilir göndericilerden gelen kısa mesajları açarak kimlik avı, kimlik avı ve çevrimiçi dolandırıcılığa karşı dikkatli olmaya çağırıyor. Bunun da ötesinde, müşteriler yasadışı olarak indirilen verilerdeki aramalarının ve kısa mesajlarının telefon numaralarını almak için bir talepte bulunabilirler.
Snowflake’u hedef alan kötü niyetli siber saldırı, 165 müşteriyi hedef aldı. Google’ın sahibi olduğu Mandiant şirketi, faaliyeti UNC5537 adlı, “Kuzey Amerika’da bulunan üyeleri ve Türkiye’deki ek bir üyeyle işbirliği yapan” finansal amaçlı bir tehdit grubuna bağladı.
Suçlular talep edildi Çalınan veriler karşılığında 300.000 ila 5 milyon dolar arasında ödemeler. Son gelişme, siber suç dalgasının sonuçlarının kapsamının genişlediğini ve kademeli bir etki yarattığını gösteriyor.
KABLOLU açıklığa kavuşmuş Geçtiğimiz ay, Snowflake veri hırsızlıklarının arkasındaki hacker’ların, çalınan Snowflake kimlik bilgilerini, kullanıcı adlarına, parolalara ve hırsız kötü amaçlı yazılım tarafından ele geçirilen kimlik doğrulama belirteçlerine erişim satan karanlık web hizmetlerinden nasıl elde ettikleri. Buna EPAM Systems adlı üçüncü taraf bir yüklenici aracılığıyla erişim elde etmek de dahildi.
Snowflake ise bu hafta duyuruldu yöneticilerin artık hesap ele geçirme riskini azaltmak için tüm kullanıcılar için zorunlu çok faktörlü kimlik doğrulamayı (MFA) uygulayabileceğini söyledi. Ayrıca yakında yeni oluşturulan Snowflake hesaplarındaki tüm kullanıcılar için MFA gerektireceğini söyledi.