El proveedor de servicios de telecomunicaciones estadounidense AT&T ha confirmado que actores de amenazas lograron acceder a datos pertenecientes a «casi todos» sus clientes inalámbricos, así como a clientes de operadores de redes virtuales móviles (MVNO) que utilizan la red inalámbrica de AT&T.
«Los actores de amenazas accedieron ilegalmente a un espacio de trabajo de AT&T en una plataforma de nube de terceros y, entre el 14 y el 25 de abril de 2024, extrajeron archivos que contenían registros de AT&T de interacciones de llamadas y mensajes de texto de clientes que ocurrieron entre aproximadamente el 1 de mayo y el 31 de octubre de 2022, así como el 2 de enero de 2023», dicho.
Esto incluye números de teléfono con los que interactuó un número inalámbrico de AT&T o MVNO, incluidos números de teléfono de clientes de líneas fijas de AT&T y clientes de otros operadores, recuentos de esas interacciones y la duración total de las llamadas durante un día o mes.
Un subconjunto de estos registros también contenía uno o más números de identificación del sitio celularlo que podría permitir a los actores de amenazas triangular la ubicación aproximada de un cliente cuando se realizó una llamada o se envió un mensaje de texto. AT&T dijo que alertará a los clientes actuales y anteriores si su información estuvo involucrada.
«Los actores de amenazas han utilizado datos de ataques anteriores para relacionar números de teléfono con identidades», dijo Jake Williams, ex pirata informático de la NSA y profesor de IANS Research. «Lo que los actores de amenazas robaron aquí son, en realidad, registros de datos de llamadas (CDR), que son una mina de oro en el análisis de inteligencia porque se pueden utilizar para entender quién está hablando con quién y cuándo».
La lista de MVNO de AT&T incluye a Black Wireless, Boost Infinite, Consumer Cellular, Cricket Wireless, FreedomPop, FreeUp Mobile, Good2Go, H2O Wireless, PureTalk, Red Pocket, Straight Talk Wireless, TracFone Wireless, Unreal Mobile y Wing.
AT&T no reveló el nombre del proveedor de nube externo, pero Snowflake confirmó desde entonces que la violación estaba relacionada con el ataque que afectó a otros clientes, como Ticketmaster, Santander, Neiman Marcus y LendingTree, según Bloomberg.
La empresa afirmó que se enteró del incidente el 19 de abril de 2024 y que activó de inmediato sus esfuerzos de respuesta. Señaló además que está trabajando con las fuerzas del orden en sus esfuerzos por arrestar a los involucrados y que «al menos una persona ha sido detenida».
404 Medios reportado que un ciudadano estadounidense de 24 años llamado John Binns, que era previamente arrestado En Turquía, en mayo de 2024, está vinculado al incidente de seguridad, citando a tres fuentes anónimas. También fue acusado en Estados Unidos de infiltrarse en T-Mobile en 2021 y vender los datos de sus clientes.
Sin embargo, enfatizó que la información a la que se accedió no incluye el contenido de llamadas o mensajes de texto, información personal como números de Seguro Social, fechas de nacimiento u otra información de identificación personal.
«Si bien los datos no incluyen los nombres de los clientes, a menudo existen formas, utilizando herramientas en línea disponibles públicamente, de encontrar el nombre asociado con un número de teléfono específico», dijo. dicho en una presentación del Formulario 8-K ante la Comisión de Bolsa y Valores de Estados Unidos (SEC).
También insta a los usuarios a estar alerta ante el phishing, el smishing y el fraude en línea, abriendo únicamente mensajes de texto de remitentes confiables. Además, los clientes pueden enviar una solicitud para obtener los números de teléfono de sus llamadas y mensajes de texto en los datos descargados ilegalmente.
La campaña cibernética maliciosa dirigida a Snowflake ha puesto a 165 clientes en la mira, y Mandiant, propiedad de Google, atribuye la actividad a un actor de amenazas con motivaciones económicas denominado UNC5537 que incluye «miembros con sede en América del Norte y colabora con un miembro adicional en Turquía».
Los criminales tienen exigido pagos de entre 300.000 y 5 millones de dólares a cambio de los datos robados. Los últimos acontecimientos muestran que las repercusiones de la ola de delitos informáticos están aumentando y han tenido un efecto dominó.
CON CABLE reveló El mes pasado, los piratas informáticos que se dedicaron a robar datos de Snowflake consiguieron credenciales robadas de Snowflake de servicios de la dark web que venden acceso a nombres de usuario, contraseñas y tokens de autenticación que son capturados por malware ladrón. Esto incluyó la obtención de acceso a través de un contratista externo llamado EPAM Systems.
Por su parte, Snowflake esta semana Anunciado Los administradores ahora pueden aplicar la autenticación multifactor (MFA) obligatoria para todos los usuarios para mitigar el riesgo de robo de cuentas. También dijo que pronto requerirá la MFA para todos los usuarios en las cuentas Snowflake recién creadas.