Os dados roubados incluem milhões de números de telefone de clientes da AT&T, registros de chamadas e mensagens de texto e dados relacionados à localização.
A gigante de telefonia dos EUA AT&T confirmou na sexta-feira que começará a notificar milhões de consumidores sobre uma nova violação de dados que permitiu que criminosos cibernéticos roubassem os registros telefônicos de “quase todos” os seus clientes, disse um porta-voz da empresa ao TechCrunch.
Em um comunicado, a AT&T disse que os dados roubados contêm números de telefone de clientes de telefonia celular e fixa, bem como registros de chamadas e mensagens de texto da AT&T — como quem contatou quem por telefone ou mensagem de texto — durante um período de seis meses entre 1º de maio de 2022 e 31 de outubro de 2022.
A AT&T disse que alguns dos dados roubados incluem registros mais recentes de 2 de janeiro de 2023 para um número menor, mas não especificado, de clientes.
Os dados roubados também incluem registros de chamadas de clientes com serviço telefônico de outras operadoras de celular que dependem da rede da AT&T, disse a empresa.
A AT&T disse que os dados roubados “não contêm o conteúdo de chamadas ou mensagens de texto”, mas incluem registros de chamadas e mensagens de texto com os quais um número de telefone da AT&T interagiu durante o período de seis meses, bem como a contagem total de chamadas e mensagens de texto de um cliente e a duração das chamadas — informações que geralmente são chamadas de metadados. Os dados roubados não incluem a hora ou a data das chamadas ou mensagens de texto, disse a AT&T.
Alguns dos registros roubados incluem números de identificação de sites de celular associados a chamadas telefônicas e mensagens de texto, informações que podem ser usadas para determinar a localização aproximada de onde uma chamada foi feita ou uma mensagem de texto enviada.
No total, a gigante da telefonia disse que notificará cerca de 110 milhões de clientes da AT&T sobre a violação de dados, disse a porta-voz da empresa Andrea Huguely ao TechCrunch.
A AT&T publicou um site com informações para clientes sobre o incidente de dados. A AT&T também divulgou a violação de dados em um processo com reguladores antes da abertura do mercado na sexta-feira.
Violação ligada ao Snowflake
A AT&T disse que soube da violação de dados em 19 de abril e que ela não estava relacionada ao incidente de segurança anterior em março.
Huguely, da AT&T, disse ao TechCrunch que o comprometimento mais recente de registros de clientes foi roubado da gigante de dados em nuvem Snowflake durante uma onda recente de roubos de dados direcionados aos clientes da Snowflake.
A Snowflake permite que seus clientes corporativos, como empresas de tecnologia e telecoms, analisem grandes quantidades de dados de clientes na nuvem. Não está claro por qual motivo a AT&T estava armazenando dados de clientes na Snowflake, e o porta-voz não quis dizer.
A AT&T é a mais recente empresa a confirmar nas últimas semanas que teve dados roubados da Snowflake, seguindo a Ticketmaster e a subsidiária da LendingTree, QuoteWizard , e outras.
A Snowflake culpou seus clientes pelos roubos de dados por não usarem autenticação multifator para proteger suas contas da Snowflake, um recurso de segurança que a gigante de dados em nuvem não aplicou ou exigiu que seus clientes usassem.
A empresa de resposta a incidentes de segurança cibernética Mandiant, que a Snowflake chamou para ajudar a notificar os clientes, disse mais tarde que cerca de 165 clientes da Snowflake tiveram um “volume significativo de dados” roubados de suas contas de clientes .
A Mandiant atribuiu a violação a um grupo cibercriminoso ainda não categorizado rastreado apenas como UNC5537. Os pesquisadores da Mandiant dizem que os hackers são motivados financeiramente e têm membros na América do Norte e pelo menos um membro na Turquia.
Algumas das outras vítimas corporativas dos roubos de contas da Snowflake tiveram dados posteriormente publicados em fóruns de crimes cibernéticos conhecidos. Da parte da AT&T, a empresa disse que não acredita que os dados estejam disponíveis publicamente neste momento.
A declaração da AT&T disse que estava trabalhando com a polícia para prender os cibercriminosos envolvidos na violação. A AT&T disse que “pelo menos uma pessoa foi apreendida”. O porta-voz da AT&T disse que o indivíduo preso não era um funcionário da AT&T, mas adiou as perguntas sobre os supostos criminosos para o FBI.
Um porta-voz do FBI confirmou ao TechCrunch na sexta-feira que, depois que a gigante da telefonia contatou a agência para relatar a violação, a AT&T, o FBI e o Departamento de Justiça concordaram em adiar a notificação do público e dos clientes em duas ocasiões, citando “riscos potenciais à segurança nacional e/ou à segurança pública”.
“A AT&T, o FBI e o DOJ trabalharam em colaboração durante o primeiro e o segundo processo de atraso, ao mesmo tempo em que compartilhavam informações importantes sobre ameaças para reforçar as ações investigativas do FBI e auxiliar o trabalho de resposta a incidentes da AT&T”, disse o porta-voz do FBI.
O FBI não comentou a prisão de um dos supostos criminosos cibernéticos.
Este é o segundo incidente de segurança divulgado pela AT&T este ano . A AT&T foi forçada a redefinir as senhas de contas de milhões de seus clientes depois que um cache de informações de contas de clientes — incluindo senhas criptografadas para acessar contas de clientes da AT&T — foi publicado em um fórum de crimes cibernéticos. Um pesquisador de segurança disse ao TechCrunch na época que as senhas criptografadas poderiam ser facilmente descriptografadas, levando a AT&T a tomar medidas preventivas para proteger as contas dos clientes.