Telefonverbindungsdaten von „fast allen“ AT&T-Kunden bei Datendiebstahl offengelegt
(techcrunch.com)- Die neue Datenpanne bei AT&T betraf die Verbindungsbeziehungsdaten von fast allen Kunden bei Anrufen und SMS; rund 110 Millionen Menschen sollen benachrichtigt werden
- Die gestohlenen Daten betreffen vor allem Metadaten zu Anrufen und SMS vom 1. Mai 2022 bis zum 31. Oktober 2022; bei einigen Kunden sind auch Aufzeichnungen vom 2. Januar 2023 enthalten
- Inhalte von Nachrichten sowie genaue Uhrzeiten und Daten fehlen, doch offengelegt wurde, wer mit wem in Kontakt stand, außerdem Anrufvolumen, Gesprächsdauer und einige Kennungen von Mobilfunkstandorten
- Der Vorfall ist getrennt von AT&Ts Sicherheitsvorfall im März und steht im Zusammenhang mit den jüngsten Datendiebstählen gegen Snowflake-Kundenkonten
- Beim Schutz von Snowflake-Konten wurde die Nichtnutzung von Multi-Faktor-Authentifizierung zum Streitpunkt; Mandiant bestätigte erhebliche Datendiebstähle aus etwa 165 Kundenkonten
Umfang der bei AT&T offengelegten Telefonverbindungsdaten
- AT&T will im Zusammenhang mit diesem Vorfall rund 110 Millionen Menschen benachrichtigen
- Zu den gestohlenen Daten gehören Telefonnummern sowie Anruf- und SMS-Aufzeichnungen von AT&T-Mobilfunk- und Festnetzkunden
- Der betroffene Zeitraum umfasst sechs Monate vom 1. Mai 2022 bis zum 31. Oktober 2022
- Bei einigen Kunden sind auch jüngere Aufzeichnungen vom 2. Januar 2023 enthalten, die Zahl dieser Kunden wurde jedoch nicht offengelegt
- Auch Anrufaufzeichnungen von Kunden anderer Mobilfunkanbieter, die das AT&T-Netz nutzen, sind in den offengelegten Daten enthalten
- Die offengelegten Daten enthalten keine Inhalte von Anrufen oder Nachrichten
- Es ist erkennbar, welche Nummern eine bestimmte AT&T-Nummer angerufen hat oder mit welchen sie SMS ausgetauscht hat
- Enthalten sind die Gesamtzahl der Anrufe und SMS eines Kunden sowie die Gesprächsdauer
- Uhrzeit und Datum der Anrufe oder SMS sind nicht enthalten
- Einige Datensätze enthalten Kennungen von Mobilfunkstandorten, die mit Telefonaten oder SMS verknüpft sind
- Damit lässt sich der ungefähre Ort ermitteln, an dem ein Anruf geführt oder eine SMS gesendet wurde
- AT&T machte den Vorfall über eine Informationsseite für Kunden und eine bei der Aufsichtsbehörde eingereichte Unterlage öffentlich
Diebstahl von Snowflake-Konten und Stand der Ermittlungen
- AT&T erfuhr am 19. April von dieser Datenpanne und betonte, dass sie nichts mit dem zuvor im März veröffentlichten Sicherheitsvorfall zu tun habe
- Die neuesten Kundendaten wurden im Rahmen der jüngsten Datendiebstähle gegen Snowflake-Kunden nachweislich bei Snowflake gestohlen
- Snowflake ist ein Dienst, mit dem Unternehmenskunden große Mengen an Kundendaten in der Cloud analysieren können
- Warum AT&T Kundendaten bei Snowflake gespeichert hatte, wurde nicht offengelegt
- In den vergangenen Wochen bestätigten auch Ticketmaster und die LendingTree-Tochter QuoteWizard, dass Daten bei Snowflake gestohlen wurden
- Snowflake sieht die Verantwortung für die Datendiebstähle bei Kunden, die ihre Konten nicht mit Multi-Faktor-Authentifizierung geschützt hatten
- Snowflake hatte diese Sicherheitsfunktion für Kunden weder erzwungen noch verpflichtend gemacht
- Mandiant, das Snowflake zur Unterstützung bei Kundenbenachrichtigungen hinzugezogen hatte, bestätigte, dass aus rund 165 Snowflake-Kundenkonten erhebliche Datenmengen gestohlen wurden
- Mandiant ordnet den Vorfall einer noch nicht klassifizierten Cybercrime-Gruppe zu, die als UNC5537 verfolgt wird
- Die Hacker werden als finanziell motiviert eingeschätzt
- Mitglieder befinden sich in Nordamerika, mindestens eine Person in der Türkei
- Daten einiger betroffener Unternehmen aus den Snowflake-Kontodiebstählen wurden in bekannten Cybercrime-Foren veröffentlicht, doch AT&T geht derzeit nicht davon aus, dass die eigenen Daten öffentlich verfügbar sind
- AT&T arbeitet mit Strafverfolgungsbehörden zusammen, um die beteiligten Cyberkriminellen festzunehmen; mindestens eine Person wurde bereits festgenommen
- Die festgenommene Person ist kein AT&T-Mitarbeiter
- Das FBI kommentierte die Festnahme nicht
- Das FBI bestätigte, dass AT&T, das FBI und das Justizministerium nach der Meldung des Vorfalls durch AT&T zweimal vereinbarten, die Benachrichtigung von Kunden und Öffentlichkeit zu verzögern
- Grund war ein potenzielles Risiko für nationale Sicherheit und öffentliche Sicherheit
- Während der Verzögerung teilten die drei Stellen Bedrohungsinformationen, um die FBI-Ermittlungen und AT&Ts Reaktion auf den Vorfall zu unterstützen
- Der Vorfall ist der zweite Sicherheitsvorfall, den AT&T in diesem Jahr öffentlich machte
- Zuvor hatte AT&T die Kontopasswörter von Millionen Kunden zurücksetzen müssen, nachdem ein Cache mit Informationen zu Kundenkonten in einem Cybercrime-Forum veröffentlicht worden war
- Dieser Cache enthielt verschlüsselte Passcodes für den Zugriff auf AT&T-Kundenkonten; Sicherheitsforscher gingen damals davon aus, dass diese Passcodes leicht entschlüsselt werden konnten
1 Kommentare
Meinungen auf Hacker News
AT&T hat 110 Millionen Kunden; wenn jeder Kunde wegen des Eindringens nur eine Minute zusätzlich für die Kontoverwaltung aufwenden muss, verschwinden insgesamt mehr als 209 Jahre Zeit
Die Gesetze zu Datenlecks müssen deutlich strenger sein. Wenn ein Leak praktisch kaum Konsequenzen hat, werden Unternehmen nur das Minimum in Datensicherheit investieren
Man müsste den Schutz der juristischen Person durchbrechen und diejenigen strafrechtlich verfolgen, deren Fahrlässigkeit so etwas ermöglicht hat, oder die Geldbußen so hoch ansetzen, dass Management und Aktionäre tatsächlich getroffen werden
Alle geben dem Unternehmen die Schuld, aber hat sich niemand gefragt, warum es in Ordnung sein soll, dass die Regierung Aufzeichnungen über all meine Telefonaktivitäten hat? Früher hätte man so etwas einen dystopischen Überwachungsstaat genannt
Ich möchte nicht rechtlich haftbar gemacht werden, wenn meine Software wegen einer mir unbekannten Schwachstelle kompromittiert wird
Ein vernünftiger erster Schritt könnte sein, Drittanbieter-Standards, Audits und Zertifizierungen für Datensicherheit zu schaffen und Verbrauchern, denen Datenschutz und Sicherheit wichtig sind, sichtbar zu machen, was ein Unternehmen tut. Wenn Verbraucher darin einen Wert sehen, werden sie dieses Unternehmen eher bevorzugen, und andere Unternehmen könnten nachziehen
Dass das noch nicht illegal ist, ist für mich absolut unverständlich
AT&T würde über Nacht fast wie ein Ende-zu-Ende-verschlüsselter Dienst werden
Die Leitungen selbst wären nicht verschlüsselt, also könnte die NSA weiterhin mithören, aber zumindest könnte es in den AT&T-Rechenzentren außer Boot-Laufwerken, SMS-Message-Queues und der Zuordnung autorisierter SIMs zu Telefonnummern keinen veränderbaren Speicher mehr geben
Ich verstehe nicht, warum man heutzutage überhaupt noch Verbindungsdaten speichert. Selbst für den ursprünglichen Zweck, die Abrechnung, sind sie nicht mehr nötig
Wenn es sich um ein „noch laufendes Datenleck handelt, das mehr als 160 Kunden des Cloud-Datenanbieters Snowflake betrifft“, frage ich mich, was Snowflake normalerweise mit all den AT&T-Daten macht. Werden sie an „Marketingpartner“ weiterverteilt? So sieht es aus
Im Mission Statement auf der Snowflake-Website heißt es: „Unsere Mission ist es, Datensilos aufzubrechen, Komplexität zu überwinden und sichere Datenzusammenarbeit zwischen Publishern, Werbetreibenden und den zentralen Technologien zu ermöglichen, die sie unterstützen“
Dann sieht das nicht so aus, als seien die Betriebssysteme von AT&T kompromittiert worden, sondern eher so, als habe jemand Unbefugtes Daten abgegriffen, die bereits an Marketer verkauft wurden. Ich frage mich, ob dieses Verständnis richtig ist
Angesichts dieses Leaks und der Art der Daten im Snowflake-Data-Lake würde ich dieses Ereignis aus Kundensicht wohl nicht als „Leak“ betrachten. Das eigentliche Leak hat meiner Meinung nach bereits weiter upstream stattgefunden
Betrachtet man die Art der Daten in der Datenbank und die Plattform, auf der sie gespeichert waren, wirkt es sehr wahrscheinlich, dass diese Daten nicht für die interne Nutzung bei AT&T gedacht waren, sondern für die externe Nutzung durch Dritte wie Werbetreibende, Partner für Verbraucheranalysen oder Regierungsbehörden
Mit anderen Worten: Wenn meine Daten in diesem Speicher lagen, würde ich sagen, dass sie in dem Moment, in dem sie dort landeten, bereits „geleakt“ waren. Das Problem hier scheint aus Sicht von AT&T und FBI zu sein, dass sie an die falschen Leute geleakt wurden
Es spielt keine Rolle, ob AT&T, eine Bank oder die Regierung. Unter keinen Umständen kann man erwarten, dass sensible Informationen privat bleiben
Früher haben wir Kindern das beim Heranführen ans Internet fast wie ein absolutes Grundprinzip beigebracht; es ist erstaunlich, wie sehr sich das in 20 Jahren verändert hat
Die AT&T-Aktie hat sich von ihrem anfänglichen Rückgang um 2,6 % heute Morgen bereits deutlich erholt, der Markt scheint AT&T also für immun zu halten. Snowflake hingegen liegt 3,9 % im Minus und hat viele Kunden außer AT&T
https://www.marketwatch.com/investing/stock/T
https://www.marketwatch.com/investing/stock/SNOW
Falls man im Aktienkurs einen Effekt sieht, halte ich es für wahrscheinlich, dass er nichts mit dieser Nachricht zu tun hat
In diesem Fall war laut Artikel Snowflake auch die Ursache der Leaks bei Ticketmaster und LendingTree, daher könnte das Vertrauen in Snowflake jetzt erheblich sinken
Das Ergebnis der Sammelklage wird wahrscheinlich daraus bestehen, dass jeder statt 2 Dollar einen kostenlosen Testgutschein für einen Klingelton-Zusatzdienst aus den frühen 2000ern bekommt, was am Ende nur die wiederkehrenden Umsätze erhöht
In Europa wäre es in mehreren Ländern illegal gewesen, Telefonaufzeichnungen umfassend über das für den Betrieb nötige Maß hinaus zu speichern; generell wäre das auch nicht mit der Europäischen Menschenrechtskonvention vereinbar[1], sofern es sich nicht um eine befristete Maßnahme aufgrund einer tatsächlichen Bedrohung der nationalen Sicherheit und unter gerichtlicher Aufsicht handelt.
Es gibt keinen Grund, warum ein Diensteanbieter so etwas überhaupt speichern müsste, und es wäre auch nicht schwer, das gesetzlich zu ändern. Man müsste die Aufbewahrung einfach illegal machen.
[1] https://curia.europa.eu/juris/document/document.jsf?text=&do...
Deutschland liegt mit 10 Wochen eher am kurzen Ende, aber auch dort müssen solche Aufzeichnungen gespeichert werden.
Die Aussage, dass das Sammeln solcher Aufzeichnungen in Europa illegal sei, ist eindeutig falsch; darüber hinaus ist die Erhebung solcher Aufzeichnungen in der Regel für einen je nach Land festgelegten Zeitraum verpflichtend.
Telefonaufzeichnungen werden wegen der Abrechnung benötigt. Da Kunden häufig Rechnungen anfechten, müssen sie auch noch eine Zeit lang aufbewahrt werden.
Leider scheint den USA „disruptive Innovation“ wichtiger zu sein als Kundenschutz, weshalb rechtlicher Datenschutz im Kongress nicht besonders beliebt ist.
Das dürfte eher ein Fall für GDPR-Beschränkungen sein.
Verbraucher sind gegenüber Datenlecks so abgestumpft, dass selbst solche Vorfälle kaum noch Empörung auslösen. Wenn es keine Wut der Verbraucher gibt, sehe ich für Unternehmen kaum Anreize, sich stärker darum zu bemühen, Datenlecks zu verhindern.
Wenn man anfängt, für solche Leaks Milliardenstrafen zu verhängen, würden Unternehmen plötzlich in Sicherheit investieren.
Allerdings scheint das nach den jüngsten Entscheidungen des Supreme Court, die die Macht der Behörden schwächen, nicht möglich zu sein.
Man wird sich wohl nun auf Zivilgerichte verlassen müssen, also auf Sammelklagen, um Strafen durchzusetzen.
Ich habe mein AT&T-Konto vor mehr als 10 Jahren gekündigt, aber beim früheren Hack im März dieses Jahres hatten sie immer noch meine alte Adresse, meinen vollständigen Namen und meine Sozialversicherungsnummer gespeichert.
Es ist wirklich absurd, dass es keine vernünftigen Gesetze gibt, um unfähige Organisationen wirksam zu bestrafen.
Anfang dieses Jahres ist wegen eines Leaks bei AT&T oder einem ihrer Anbieter auch meine Sozialversicherungsnummer im Dark Web gelandet. Ein Jahr Monitoring reicht nicht. Das muss lebenslang sein.
Sicherheit interessiert sie nicht. Es gibt keinen echten Anreiz, den Status quo zu ändern. Solche Unternehmen sollten die Kosten für unbegrenztes Monitoring tragen müssen.
Die nationale Ausweisnummer unseres Landes lässt sich aus dem Geburtsdatum, einer fortlaufenden Nummer für die an diesem Tag Geborenen und einer Prüfsumme berechnen; und wer auch nur ein kleines eigenes Geschäft betreibt, muss seine persönliche Steuernummer auf jede Quittung oder jedes geschäftliche Einkaufsdokument schreiben.
Zu wissen, dass die ID-Nummer des ersten heute geborenen Jungen 120702450001X lautet, hilft nicht dabei, etwas Böses zu tun. Die Prüfsumme habe ich nicht berechnet, weil es mühsam ist, aber der Algorithmus ist öffentlich.
Man sollte darüber nachdenken, was mit Menschen passiert, die bei einer Suizidpräventions-Hotline, einer Abtreibungsklinik oder einem Kreditrückzahlungsdienst angerufen haben.
Mit der Telefonnummer lässt sich so etwas herausfinden.
Laut dem TechCrunch-Artikel waren auch Mobilfunkzellen-IDs enthalten, was bedeutet, dass auch grobe Standortinformationen enthalten waren.
https://techcrunch.com/2024/07/12/att-phone-records-stolen-d...
Ich frage mich also, wo meine Entschädigung bleibt. Natürlich weiß ich, dass es keine Rechtsmittel gibt.
Wenn niemand für sichere Praktiken verantwortlich gemacht wird, etwa Multi-Faktor-Authentifizierung für Datenspeicher mit riesigen Mengen an Kundendaten zu aktivieren, kommt genau das dabei heraus.
Sie melden es einfach und machen weiter, nicht einmal eine Entschuldigung. Es endet mit einem „Ups, diese verdammten Cyberkriminellen“.