Hacker stehlen Telefon- und SMS-Datensätze von fast allen AT&T-Kunden
(krebsonsecurity.com)- Die Aufzeichnungen zu Anrufen und SMS-Interaktionen von fast allen AT&T-Kunden — rund 110 Millionen Menschen — wurden offengelegt; auch ohne Inhalte lassen sich daraus Kontaktbeziehungen und teils Standorte ableiten
- Die Eindringlinge griffen im April 2024 auf einen AT&T-Workspace auf einer Cloud-Plattform eines Drittanbieters zu und luden Dateien mit Datensätzen vom 1. Mai bis 31. Oktober 2022 sowie vom 2. Januar 2023 herunter
- Die offengelegten Daten enthielten keine Inhalte von Anrufen oder SMS, keine Social-Security-Nummern, Geburtsdaten oder sonstigen personenbezogenen Identifikationsdaten, aber Telefonnummern und teilweise Standortinformationen von Mobilfunkmasten
- AT&T verzögerte die Offenlegung auf Ersuchen von Bundesermittlungsbehörden und wegen Bedenken hinsichtlich nationaler Sicherheit und öffentlicher Sicherheit; das FBI bestätigte Gespräche über eine Verzögerung gemäß SEC Rule Item 1.05(c)
- Der Vorfall steht im Zusammenhang mit den Snowflake-bezogenen Sicherheitsverletzungen; die Praxis, große Mengen an Kundendaten nur mit Benutzername und Passwort zu schützen, sowie das Fehlen von Multi-Faktor-Authentifizierung bleiben zentrale Risiken
AT&T-Datenleck betrifft fast alle Kunden
- AT&T Corp. gab bekannt, dass bei einer neuen Datenpanne die Aufzeichnungen zu Telefonanrufen und SMS von rund 110 Millionen Menschen offengelegt wurden
- Der Umfang betrifft nahezu alle AT&T-Kunden und umfasst auch Anruf- und SMS-Datensätze von Mobilfunkanbietern, die AT&T-Dienste weiterverkaufen
- Einige Datensätze enthielten Daten, mit denen sich bestimmen lassen könnte, wo ein Anruf getätigt oder eine SMS gesendet wurde
Welche Daten offengelegt wurden — und welche nicht
- Die Eindringlinge griffen im April 2024 auf den AT&T-Workspace auf einer Cloud-Plattform eines Drittanbieters zu
- Die heruntergeladenen Dateien enthielten Aufzeichnungen zu Anruf- und SMS-Interaktionen von Kunden für folgende Zeiträume
-
- Mai bis 31. Oktober 2022
-
- Januar 2023
-
- Nicht in den offengelegten Daten enthalten waren:
- Inhalte von Anrufen
- Inhalte von SMS
- Social-Security-Nummern
- Geburtsdaten
- sonstige personenbezogene Identifikationsdaten
- Einige Datensätze enthielten Standortinformationen zum dem Teilnehmer nächstgelegenen Mobilfunkmast
- Diese Informationen können verwendet werden, um den ungefähren Standort von Kundengeräten zu bestimmen, die SMS gesendet oder Anrufe getätigt und empfangen haben
- Kundennamen sind in den Daten nicht enthalten, doch AT&T räumte ein, dass es häufig Möglichkeiten gibt, über öffentlich verfügbare Online-Tools Namen zu bestimmten Telefonnummern zu finden
Verzögerte Offenlegung und laufende Ermittlungen
- AT&T erfuhr am 19. April 2024 von dem Einbruch, verzögerte die Offenlegung jedoch auf Ersuchen von Bundesermittlungsbehörden
- Laut AT&Ts SEC-Meldung wurde im Zusammenhang mit diesem Vorfall mindestens eine Person von den Behörden festgenommen
- Das FBI bestätigte, AT&T gebeten zu haben, die Benachrichtigung betroffener Kunden zu verzögern
- Kurz nachdem AT&T einen möglichen Einbruch in Kundendaten festgestellt hatte, meldete das Unternehmen den Vorfall dem FBI; AT&T, FBI und DOJ erörterten eine mögliche Verzögerung der Offenlegung gemäß SEC Rule Item 1.05(c)
- Grund für die Verzögerung waren potenzielle Risiken für die nationale Sicherheit und die öffentliche Sicherheit
Snowflake-Sicherheitsverletzung und fehlende Multi-Faktor-Authentifizierung
- Laut einem von TechCrunch zitierten AT&T-Sprecher ist der Diebstahl der Kundendaten die Folge einer laufenden Datenpanne, die mehr als 160 Kunden des Cloud-Datenanbieters Snowflake betrifft
- Angreifer hatten erkannt, dass mehrere Großunternehmen große Mengen sensibler Kundendaten auf Snowflake-Servern ablegten und die Konten lediglich mit Benutzername und Passwort schützten
- Wired zufolge kauften die Hacker hinter den Snowflake-Datendiebstählen im Dark Web gestohlene Snowflake-Zugangsdaten
- Diese Zugangsdaten enthielten Benutzernamen, Passwörter und Authentifizierungs-Tokens, die von informationsstehlender Malware abgegriffen worden waren
- Snowflake verlangt inzwischen von allen Neukunden die Nutzung von Multi-Faktor-Authentifizierung
- Auch die Cloud-Datenbank, in der die AT&T-Kundendatensätze offengelegt wurden, war nur durch Benutzername und Passwort geschützt; Multi-Faktor-Authentifizierung war nicht erforderlich
Weitere von Snowflake betroffene Unternehmen und frühere AT&T-Vorfälle
- Zu den weiteren Unternehmen, bei denen Millionen von Kundendatensätzen von Snowflake-Servern gestohlen wurden, gehören:
- Advance Auto Parts
- Allstate
- Anheuser-Busch
- Los Angeles Unified
- Mitsubishi
- Neiman Marcus
- Pure Storage
- Santander Bank
- State Farm
- Ticketmaster
- Nachdem AT&T Anfang dieses Jahres einen Datenvorfall aus dem Jahr 2018 eingeräumt hatte, der rund 7,6 Millionen aktuelle Kontoinhaber und etwa 65,4 Millionen frühere Kontoinhaber betraf, setzte das Unternehmen die Passwörter von Millionen Kunden zurück
- Die bei Advance Auto Parts offengelegten Daten enthielten vollständige Namen, Social-Security-Nummern, Führerscheine und staatlich ausgestellte Ausweisnummern von 2,3 Millionen ehemaligen und aktuellen Mitarbeitern oder Bewerbern
Risiken durch Anruf- und SMS-Metadaten
- Der Anwendungssicherheitsarchitekt Mark Burnett sieht den eigentlichen Nutzen der bei diesem AT&T-Vorfall gestohlenen Daten darin, nachvollziehen zu können, wer wie oft mit wem Kontakt hatte
- Burnett hält für besonders besorgniserregend, dass es sich bei dem Leck nicht um AT&Ts primäre Datenbank handelt, sondern um Metadaten darüber, „wer wen kontaktiert hat“
- Selbst wenn die Anrufprotokolle keine Zeitstempel oder Namen enthalten, bleibt offen, zu welchem Zweck solche Datensätze verwendet wurden
Unternehmensverantwortung und finanzielle Auswirkungen
- Die Praxis großer Unternehmen, sensible Kundendaten mit nur wenigen Sicherheitsvorkehrungen zu speichern, bleibt weiterhin ein ungeklärtes Problem
- Abgesehen von Sammelklagen nach Datenpannen gibt es nur wenige Mechanismen, Unternehmen für nachlässige Sicherheitspraktiken zur Verantwortung zu ziehen
- AT&T teilte der SEC mit, dass der Vorfall voraussichtlich keine wesentlichen Auswirkungen auf die Finanzlage oder das operative Ergebnis von AT&T haben werde
- AT&Ts jüngster Quartalsumsatz lag bei über 30 Milliarden US-Dollar
1 Kommentare
Hacker-News-Kommentare
Die Kommentare wurden nach https://news.ycombinator.com/item?id=40944505 verschoben
Verwandte Diskussionslinks:
(272 Punkte, vor 7 Stunden, 210 Kommentare) https://news.ycombinator.com/item?id=40944505
(76 Punkte, vor 6 Stunden, 31 Kommentare) https://news.ycombinator.com/item?id=40944839
Doppelter Eintrag; weitere Diskussionen gibt es unter https://news.ycombinator.com/item?id=40944505