Datenschutzvorfall bei AT&T: Telefonaufzeichnungen von „fast allen“ Kunden gestohlen

 (techcrunch.com)
1 Punkte von GN⁺ 2024-07-13 | 1 Kommentare | Auf WhatsApp teilen

Datenschutzvorfall bei AT&T-Kundendaten

  • AT&T-Datenpanne

    • AT&T hat bestätigt, dass Cyberkriminelle die Telefonaufzeichnungen von fast allen Kunden gestohlen haben
    • Zu den gestohlenen Daten gehören Telefonnummern, Anruf- und SMS-Protokolle sowie standortbezogene Daten von Millionen AT&T-Kunden

  • Inhalt der gestohlenen Daten

    • Enthalten sind Telefonnummern sowie Anruf- und SMS-Protokolle von Festnetz- und Mobilfunkkunden
    • Inhalte von Anrufen und SMS sind nicht enthalten
    • Enthalten sind Metadaten zu Anrufen und SMS, etwa Anzahl und Zeitpunkt von Anrufen und Nachrichten
    • Einige Daten umfassen auch Aufzeichnungen nach dem 2. Januar 2023

  • Auswirkungen des Datenlecks

    • Rund 110 Millionen AT&T-Kunden sollen benachrichtigt werden
    • Enthalten sind auch Verbindungsdaten von Kunden anderer Telekommunikationsanbieter
    • Einige Daten enthalten Kennnummern von Funkzellenstandorten, die zur Standortverfolgung genutzt werden könnten

  • Ursache des Vorfalls

    • AT&T wurde am 19. April auf den Vorfall aufmerksam
    • Die Daten wurden bei dem Cloud-Datenunternehmen Snowflake gestohlen
    • Das Datenleck entstand, weil bei Snowflake keine Multi-Faktor-Authentifizierung verwendet wurde
    • Mandiant berichtete, dass Daten von etwa 165 Snowflake-Kunden gestohlen wurden

  • Rechtliche Reaktion

    • AT&T arbeitet mit Strafverfolgungsbehörden zusammen, um die Cyberkriminellen festzunehmen
    • FBI und DOJ verschoben die Bekanntgabe zweimal mit Verweis auf Risiken für die nationale Sicherheit und die öffentliche Sicherheit

  • Früherer Vorfall

    • AT&T war bereits Anfang dieses Jahres von einem weiteren Leak mit Kundokontodaten betroffen

Zusammenfassung von GN⁺

  • Der Datenschutzvorfall bei AT&T betrifft rund 110 Millionen Kunden
  • Hauptursache des Lecks war eine Sicherheitslücke durch fehlende Multi-Faktor-Authentifizierung bei Snowflake
  • Der Vorfall wirft schwerwiegende Fragen zum Schutz personenbezogener Kundendaten auf
  • Andere Cloud-Datendienste mit ähnlichen Funktionen sind unter anderem AWS und Google Cloud

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-07-13
Hacker-News-Kommentare

  • Wenn 110 Millionen AT&T-Kunden nur jeweils eine zusätzliche Minute für die Kontoverwaltung aufwenden, werden mehr als 209 Jahre Zeit verschwendet.

    • Die Gesetze zu Datenschutzverletzungen müssen deutlich strenger werden.
    • Unternehmen ergreifen nur minimale Sicherheitsmaßnahmen, weil es für Datenlecks praktisch keine echten Strafen gibt.
    • Unternehmen müssen zur Verantwortung gezogen werden, und diejenigen, die durch Fahrlässigkeit Lecks verursachen, sollten strafrechtlich verfolgt werden.
    • Es sollten massive Geldstrafen verhängt werden, damit Unternehmensführungen und Aktionäre tatsächlich Konsequenzen zu spüren bekommen.

  • Beim Snowflake-Datenleck wurden nicht AT&Ts Betriebsdaten kompromittiert, sondern Daten, die an einen Marketingpartner verkauft worden waren.

    • Snowflakes Mission ist es, Datensilos aufzubrechen, Komplexität zu überwinden und sichere Datenzusammenarbeit zu ermöglichen.
    • In Europa ist eine solche Datenspeicherung illegal und auch nicht mit der Europäischen Menschenrechtskonvention vereinbar.
    • Dienstanbieter müssen solche Daten nicht speichern, und es wäre einfach, dies gesetzlich zu verbieten.

  • Ich habe mein AT&T-Konto vor 10 Jahren gekündigt, aber Adresse, Name und SSN waren immer noch gespeichert.

    • Es ist absurd, dass es keine Gesetze gibt, um inkompetente Organisationen zu bestrafen.

  • Die AT&T-Aktie hat sich nach einem anfänglichen Rückgang von -2,6 % erholt, Snowflake fiel um -3,9 %.

    • Der Markt glaubt, dass AT&T immun ist.

  • Laut dem TechCrunch-Artikel wurden durch die enthaltenen Cell-Site-Identifikatoren auch ungefähre Standortdaten offengelegt.

  • Verbraucher sind gegenüber Datenlecks abgestumpft und empören sich kaum noch.

    • Ohne Empörung der Verbraucher haben Unternehmen keinen Anreiz, mehr zu tun, um Datenlecks zu verhindern.

  • Anfang des Jahres wurde die SSN im Dark Web offengelegt.

    • Ein Jahr Monitoring reicht nicht aus; nötig ist lebenslanges Monitoring.
    • Es gibt keinen echten Anreiz für Sicherheit.
    • Man sollte sie dazu verpflichten, die Kosten für unbefristetes Monitoring zu tragen.

  • Unternehmen wie AT&T sind gegen Identitätsdiebstahl immun.

    • Die EIN eines Unternehmens ist öffentlich, aber damit kann man keinen Identitätsdiebstahl oder Kreditkartenbetrug begehen.

  • Daten sollten nach einer gewissen Zeit gelöscht werden.

    • Kunden müssen fast nie nachsehen, wer sie im vergangenen Jahr angerufen hat.
    • Außer in Fällen wie strafrechtlichen Ermittlungen oder Spionage haben Kunden kein Recht zu entscheiden, wie lange Daten gespeichert und wie sie verwendet werden.
    • Unternehmen sollten Kunden Werkzeuge und Funktionen bereitstellen, mit denen sie ihre eigenen Daten verwalten können.