AT&T, Cuma günü siber suçluların “neredeyse tüm” müşterilerinin telefon kayıtlarını çaldığını ve bu veri ihlalinin şirketin yaklaşık 110 milyon kişiyi bilgilendirmek zorunda kalacağını söyledi.
AT&T, çalınan verilerin, belirli bir müşterinin aradığı ve mesaj attığı telefon numaralarını, toplam arama ve mesaj sayısını ve 1 Mayıs 2022 ile 31 Ekim 2022 arasındaki altı aylık süreye ait arama sürelerini içerdiğini söyledi. AT&T, çalınan verilerin herhangi bir arama veya mesaj içeriğini, saatini veya tarihini içermediğini söyledi.
AT&T’ye göre, etkilenen müşterilerden bazıları için siber suçlular telefon görüşmeleri ve kısa mesajlarla bağlantılı hücre sitesi kimlik numaralarını da çalabildi. Bu, potansiyel olarak birinin bu bilgileri kullanarak bir müşterinin belirli bir arama yaptığında veya bir kısa mesaj gönderdiğinde yaklaşık konumunu belirleyebileceği ve belki de hayatları hakkında hassas bilgiler çıkarabileceği anlamına geliyor.
“Bu, birinin nerede yaşadığını, çalıştığını, boş zamanlarını nerede geçirdiğini, ilişkiler de dahil olmak üzere gizlice kimlerle iletişim kurduğunu, suç temelli herhangi bir iletişimi veya gizlilik gerektiren tipik özel/hassas konuşmaları ortaya çıkarabilir,” dedi sosyal mühendislik uzmanı ve siber güvenlik şirketi SocialProof Security’nin kurucusu Rachel Tobac. “Bu, etkilenen herkes için büyük bir olay.”
AT&T, olayı, Ticketmaster, Santander Bank ve LendingTree iştiraki QuoteWizard dahil olmak üzere düzinelerce şirketi etkileyen bulut hizmeti sağlayıcısı Snowflake’teki son bir ihlale bağladı. Bu noktada, Snowflake ihlalinin arkasında tam olarak kimin olduğu belirsiz. Snowflake tarafından soruşturma yapmak üzere işe alınan siber güvenlik firması Mandiant, UNC5537 olarak tanımladıkları finansal olarak motive olmuş bir siber suçlu grubunun sorumlu olduğunu söyledi.
AT&T’nin veri ihlalinde çalınan veri türü genellikle meta veri olarak adlandırılır çünkü aramaların veya metinlerin içeriklerini içermez, yalnızca bilgileri içerir hakkında bu aramalar ve mesajlar. Ancak bu, bu ihlalin kurbanları için hiçbir risk olmadığı anlamına gelmiyor.
Tobac, bu tür verilerin siber suçluların güvendikleri kişileri taklit etmesini kolaylaştırdığını, böylece AT&T müşterilerine karşı daha inandırıcı sosyal mühendislik veya kimlik avı saldırıları düzenlemelerinin daha kolay olduğunu söyledi.
Bize Ulaşın
Bu AT&T olayı hakkında daha fazla bilginiz var mı? Ya da Snowflake ihlali hakkında? İş dışı bir cihazdan Lorenzo Franceschi-Bicchierai ile +1 917 257 1382 numaralı telefondan Signal’den veya Telegram, Keybase ve Wire @lorenzofb üzerinden veya e-posta yoluyla güvenli bir şekilde iletişime geçebilirsiniz. Ayrıca SecureDrop üzerinden TechCrunch ile iletişime geçebilirsiniz.
Tobac, “Saldırganlar, çalınan meta veriler sayesinde, muhtemelen kimden arama alacağınızı, kime mesaj göndereceğinizi, o kişiyle ne kadar süre iletişim kurduğunuzu ve hatta o görüşme sırasında nerede bulunduğunuzu bile tam olarak biliyor” dedi.
Gazetecilerin ve aktivistlerin daha güvende olmalarına yardımcı olan Granitt şirketinin kurucusu Runa Sandvik, “Hiçbir ‘önemli’ veya ‘hassas’ şey yapmasanız bile, kiminle, ne zaman ve ne sıklıkla konuştuğunuz sizin için kişiseldir ve sizin için de özel kalmalıdır.” dedi.
Sandvik TechCrunch’a yaptığı açıklamada, “Bence herkes bu konuda çok öfkelenmeli ve telekom şirketlerinden daha iyisini talep etmeli. ‘Bu arada verileriniz çalındı, üzgünüz ve bunu çok ciddiye alıyoruz’ demek yeterli değil” dedi.
Sandvik, ihlalden etkilenen yüksek riskli bireyler için bunun daha endişe verici olduğunu söyledi. “Bazıları numaralarını değiştirmeyi ve farklı bir sağlayıcı kullanmayı düşünebilir, ancak bu gerçekten koşullara bağlıdır.” Yüksek riskli bireyler, aile içi şiddet mağdurları gibi kimliklerini gizlemek için bir nedeni olanlar da olabilir.
Sandvik ayrıca, Signal gibi AT&T’nin kaybettiği meta veri türünü tutmayan şifreli sohbet uygulamalarının ve WhatsApp’ın kullanılmasının, kullanıcı verilerini koruma konusunda bu şirketlerin daha iyi bir geçmişe sahip olması nedeniyle güvenlik açısından daha iyi olabileceğini söyledi.
Siber güvenlik uzmanı ve eski NSA hacker’ı Jake Williams, TechCrunch’a yaptığı açıklamada, AT&T ihlalinin ardından şirketler ve istihbarat hedefleri için riskin daha da arttığını söyledi.
Williams, “Tehdit aktörleri bu verileri yaşam kalıpları oluşturmak için kullanabilirler” dedi. “Arama verisi kayıtları istihbarat analistleri için zengin bir değer sağlar.”
Williams ayrıca bilgisayar korsanlarının bu verileri veri ihlalleriyle birleştirmesinin mümkün olduğunu, çünkü “önceki AT&T olaylarının müşteri telefon numaralarını diğer tanımlayıcı bilgilerle eşleştirdiğini, böylece yeni ele geçirilen verilerin silah olarak kullanılmasını kolaylaştırdığını” söyledi.
Çağrı ve metin meta verileri, geleneksel olarak istihbarat teşkilatları için değerli olabilecek bilgilerdir. Eski NSA çalışanı Edward Snowden tarafından on yıldan fazla bir süre önce sızdırılan belgelerin bazıları, ABD Ulusal Güvenlik Ajansı, Verizon’dan müşteri meta verilerini elde ediyordu toplu olarak “devam eden, günlük bazda”.
ABD hükümeti bu uygulamayı uzun zamandır terörizme karşı mücadelede olmazsa olmaz bir araç olarak savundu ve son on yıldır ardışık yönetimler bu yetenekten vazgeçmek konusunda isteksiz davrandılar. Basına konuşma yetkisi olmadığı için isminin açıklanmasını istemeyen eski bir istihbarat görevlisi, TechCrunch’a “telekom şirketlerinin yabancı servisler tarafından bu kadar sık hedef alınmasının bir nedeni olduğunu” söyledi ve potansiyel istihbarat kaynaklarını ve varlıklarını belirleme çabalarına atıfta bulundu.
Williams, “Kısacası bu veriler, kimin kiminle konuştuğunu anlamak için altın madeni niteliğindedir ve örneğin insan kaynaklarının geliştirilmesinde kullanılabilir” dedi.