Le fournisseur de services de télécommunications américain AT&T a confirmé que des acteurs malveillants ont réussi à accéder aux données appartenant à « presque tous » ses clients sans fil ainsi qu’aux clients des opérateurs de réseaux mobiles virtuels (MVNO) utilisant le réseau sans fil d’AT&T.
« Des acteurs malveillants ont accédé illégalement à un espace de travail AT&T sur une plateforme cloud tierce et, entre le 14 et le 25 avril 2024, ont exfiltré des fichiers contenant des enregistrements AT&T d’interactions téléphoniques et textuelles avec des clients survenues entre le 1er mai et le 31 octobre 2022 environ, ainsi que le 2 janvier 2023 », a-t-il déclaré. dit.
Cela comprend les numéros de téléphone avec lesquels un numéro sans fil AT&T ou MVNO a interagi, y compris les numéros de téléphone des clients de lignes fixes AT&T et des clients d’autres opérateurs, le nombre de ces interactions et la durée globale des appels pour une journée ou un mois.
Un sous-ensemble de ces enregistrements contenait également un ou plusieurs numéros d’identification des sites cellulairesce qui permettrait potentiellement aux acteurs malveillants de trianguler l’emplacement approximatif d’un client lorsqu’un appel a été passé ou qu’un message texte a été envoyé. AT&T a déclaré qu’il alerterait les clients actuels et anciens si leurs informations étaient impliquées.
« Les pirates informatiques ont utilisé des données provenant de compromissions précédentes pour faire correspondre des numéros de téléphone à des identités », a déclaré Jake Williams, ancien hacker de la NSA et professeur à l’IANS Research. « Ce que les pirates informatiques ont volé ici, ce sont en fait des enregistrements de données d’appel (CDR), qui sont une mine d’or pour l’analyse du renseignement, car ils peuvent être utilisés pour comprendre qui parle à qui – et quand. »
La liste des MVNO d’AT&T comprend Black Wireless, Boost Infinite, Consumer Cellular, Cricket Wireless, FreedomPop, FreeUp Mobile, Good2Go, H2O Wireless, PureTalk, Red Pocket, Straight Talk Wireless, TracFone Wireless, Unreal Mobile et Wing.
Le nom du fournisseur de cloud tiers n’a pas été divulgué par AT&T, mais Snowflake a depuis confirmé que la violation était liée au piratage qui a touché d’autres clients, tels que Ticketmaster, Santander, Neiman Marcus et LendingTree, selon Bloomberg.
L’entreprise a déclaré avoir pris connaissance de l’incident le 19 avril 2024 et avoir immédiatement activé ses efforts de réponse. Elle a en outre noté qu’elle travaillait avec les forces de l’ordre dans leurs efforts pour arrêter les personnes impliquées, et qu' »au moins une personne a été appréhendée ».
404 Médias signalé qu’un citoyen américain de 24 ans nommé John Binns, qui était précédemment arrêté En Turquie, en mai 2024, il est lié à l’incident de sécurité, citant trois sources anonymes. Il a également été inculpé aux États-Unis pour avoir infiltré T-Mobile en 2021 et vendu les données de ses clients.
Elle a toutefois souligné que les informations consultées n’incluent pas le contenu des appels ou des SMS, des informations personnelles telles que les numéros de sécurité sociale, les dates de naissance ou d’autres informations personnelles identifiables.
« Bien que les données n’incluent pas les noms des clients, il existe souvent des moyens, à l’aide d’outils en ligne accessibles au public, de trouver le nom associé à un numéro de téléphone spécifique », a-t-il déclaré. dit dans un formulaire 8-K déposé auprès de la Securities and Exchange Commission (SEC) des États-Unis.
L’entreprise exhorte également les utilisateurs à se méfier du phishing, du smishing et des fraudes en ligne en ouvrant uniquement les SMS provenant d’expéditeurs de confiance. En outre, les clients peuvent soumettre une demande pour obtenir les numéros de téléphone de leurs appels et SMS dans les données téléchargées illégalement.
La campagne malveillante ciblant Snowflake a placé pas moins de 165 clients dans la ligne de mire, Mandiant, propriété de Google, attribuant l’activité à un acteur de menace motivé par des raisons financières, baptisé UNC5537, qui comprend « des membres basés en Amérique du Nord et collabore avec un membre supplémentaire en Turquie ».
Les criminels ont exigé Des paiements allant de 300 000 à 5 millions de dollars en échange des données volées. Les derniers développements montrent que les retombées de la vague de cybercriminalité s’étendent et ont un effet en cascade.
CÂBLÉ révélé Le mois dernier, nous avons appris comment les pirates informatiques à l’origine des vols de données Snowflake ont obtenu des identifiants Snowflake volés auprès de services du dark web qui vendent l’accès à des noms d’utilisateur, des mots de passe et des jetons d’authentification capturés par des logiciels malveillants voleurs. Cela incluait l’obtention d’un accès par l’intermédiaire d’un sous-traitant tiers nommé EPAM Systems.
De son côté, Snowflake cette semaine annoncé Les administrateurs peuvent désormais imposer l’authentification multifacteur (MFA) obligatoire à tous les utilisateurs afin de réduire le risque de prise de contrôle de compte. L’entreprise a également déclaré qu’elle exigerait bientôt l’authentification multifacteur pour tous les utilisateurs des comptes Snowflake nouvellement créés.