L’ultima violazione di dati di AT&T ha compromesso i registri di chiamate e SMS di quasi tutti i suoi clienti, esponendo informazioni sensibili.
AT&T Corp. ha recentemente rivelato una significativa violazione dei dati che ha compromesso i registri delle chiamate e dei messaggi di circa 110 milioni di persone, ovvero quasi tutti i suoi clienti. La divulgazione dell’incidente, avvenuta con ritardo per motivi di “sicurezza nazionale e pubblica”, ha evidenziato come i dati esposti potessero includere informazioni sulla posizione delle chiamate e dei messaggi inviati.
La compagnia ha ammesso che i dati dei clienti sono stati esposti in un database cloud protetto solo da un nome utente e una password, senza la necessità di un’autenticazione a più fattori. In un deposito normativo presso la U.S. Securities and Exchange Commission, AT&T ha riportato che gli intrusi informatici hanno avuto accesso a uno spazio di lavoro di AT&T su una piattaforma cloud di terze parti nell’aprile scorso. I dati compromessi riguardano le interazioni di chiamate e SMS tra il 1° maggio e il 31 ottobre 2022 e il 2 gennaio 2023.
I dati rubati includono i registri delle chiamate e dei messaggi per i fornitori di servizi mobili che rivendono il servizio di AT&T, senza però contenere il contenuto delle chiamate o dei messaggi, numeri di previdenza sociale, date di nascita o altre informazioni di identificazione personale. Tuttavia, un sottogruppo di questi registri includeva informazioni sulle torri di comunicazione cellulare più vicine all’abbonato, dati che potrebbero essere utilizzati per determinare la posizione approssimativa del dispositivo del cliente che ha inviato o ricevuto quei messaggi o chiamate.
La compagnia ha scoperto la violazione il 19 aprile, ma ha ritardato la divulgazione su richiesta delle autorità federali. Almeno un individuo è stato arrestato in relazione alla violazione. L’FBI ha confermato in una dichiarazione di aver richiesto ad AT&T di ritardare la notifica ai clienti coinvolti.
Techcrunch ha citato un portavoce di AT&T che ha spiegato come i dati dei clienti siano stati rubati a causa di una violazione dei dati in corso che coinvolge più di 160 clienti del fornitore di dati cloud Snowflake. All’inizio dell’anno, gli hacker hanno scoperto che molte grandi aziende avevano caricato enormi quantità di dati sensibili dei clienti sui server di Snowflake, proteggendo quegli account con poco più di un nome utente e una password.
Secondo quanto riportato da Wired, gli hacker dietro questi furti hanno acquistato credenziali rubate di Snowflake da servizi del dark web che vendono accessi sottratti tramite malware di furto di informazioni. Snowflake ora richiede a tutti i nuovi clienti di utilizzare l’autenticazione a più fattori.
Altre aziende i cui record dei clienti sono stati rubati dai server di Snowflake includono Advance Auto Parts, Allstate, Anheuser-Busch, Los Angeles Unified, Mitsubishi, Neiman Marcus, Progressive, Pure Storage, Santander Bank, State Farm e Ticketmaster.
All’inizio dell’anno, AT&T ha resettato le password di milioni di clienti dopo aver finalmente riconosciuto una violazione dei dati del 2018 che ha coinvolto circa 7.6 milioni di account attuali e circa 65.4 milioni di ex account.
Secondo l’architetto della sicurezza applicativa e autore Mark Burnett, l’unico vero utilizzo dei dati rubati nella recente violazione di AT&T è sapere chi sta contattando chi e quante volte. Burnett ha sottolineato la preoccupazione per l’uso dei registri delle chiamate senza timestamp o nomi, riflettendo sulle implicazioni della collezione di tali metadata.
Rimane poco chiaro perché molte importanti aziende continuino a ritenere accettabile memorizzare così tanti dati sensibili dei clienti con poche protezioni. Ad esempio, Advance Auto Parts ha dichiarato che i dati esposti includevano nomi completi, numeri di previdenza sociale, patenti di guida e numeri di documenti d’identità emessi dal governo per 2.3 milioni di persone, tra ex dipendenti o candidati al lavoro.
Collegato a queste problematiche è un senso di responsabilità limitata per pratiche di sicurezza scadenti, con class-action lawsuits che seguono invariabilmente queste violazioni. AT&T ha riferito alla SEC che non crede che questo incidente influenzerà materialmente la condizione finanziaria o i risultati operativi di AT&T, che ha riportato ricavi di oltre $30 miliardi nel trimestre più recente.