美国电信巨头AT&T证实,将开始向亿万消费者通报一次新的数据泄露事件,此次事件导致网络犯罪分子窃取“几乎所有”客户的电话记录。
AT&T在一份声明中表示,被盗数据包含2022年5月1日至2022年10月31日六个月期间的手机和固定电话客户的电话号码,以及AT&T的通话和短信记录(例如谁通过电话或短信联系了谁)。
AT&T表示,被盗数据中包括自2023年1月2日起的较少但未指定数量客户的最新记录。
该公司表示,被盗数据还包括依赖AT&T网络的其他移动运营商的电话服务的客户的通话记录。
AT&T表示,被盗数据“不包含通话或短信内容”,但包括AT&T电话号码在六个月期间的通话和短信记录,以及客户通话和短信总数以及通话时长——这些信息通常被称为元数据。AT&T表示,被盗数据不包括通话或短信的时间或日期。
被盗记录中包括与电话和短信相关的基站识别号码,这些信息可用于确定拨打电话或发送短信的大致位置。
该公司发言人Andrea Huguely表示,该公司将向约1.1亿AT&T用户通报数据泄露事件。
AT&T发布了一个网站,向客户提供了有关此次数据泄露事件的信息。AT&T还在周五开市前向监管机构提交的文件中披露了此次数据泄露事件。
与Snowflake相关的数据泄露行为
AT&T表示,其于4月19日获悉此次数据泄露事件,且该事件与3月份发生的安全事件无关。
AT&T的Huguely表示,最近一次泄露的客户记录是从云数据巨头Snowflake窃取的,这是在最近针对Snowflake客户的数据盗窃事件中发生的。
Snowflake允许其企业客户(如科技公司和电信公司)在云端分析大量客户数据。目前尚不清楚AT&T将客户数据存储在Snowflake中的原因,发言人也未透露。
继Ticketmaster、LendingTree子公司QuoteWizard等公司之后,AT&T是最近几周最新一家确认其数据被通过Snowflake窃取的公司。
Snowflake将数据盗窃归咎于其客户没有使用多因素身份验证来保护他们的Snowflake账户,而这家云数据巨头并没有强制执行或要求其客户使用这一安全功能。
网络安全事件响应公司Mandiant曾被Snowflake请来帮忙通知客户,该公司后来表示,约有165名Snowflake客户的客户账户中“大量数据”被盗。
Mandiant将此次入侵归咎于一个尚未归类的网络犯罪团伙,该团伙仅被追踪为UNC5537。Mandiant的研究人员表示,这些黑客的动机是金钱,其成员分布在北美,至少有一名成员在土耳其。
Snowflake账户被盗事件的其他一些公司受害者的数据随后被发布在知名网络犯罪论坛上。AT&T方面表示,目前这些数据尚未公开。
AT&T的声明称,该公司正在与执法部门合作,逮捕参与此次入侵的网络犯罪分子。AT&T表示,“至少有一人已被逮捕。”AT&T发言人表示,被捕者不是AT&T员工,但将有关被指控的罪犯的问题交给了FBI。
美国联邦调查局发言人周五证实,在该电信巨头联系该机构报告入侵事件后,AT&T、美国联邦调查局和司法部同意两次推迟通知公众和客户,理由是“对国家安全和/或公共安全存在潜在风险”。
联邦调查局发言人表示:“AT&T、联邦调查局和司法部在第一次和第二次延期过程中进行了合作,同时分享了关键威胁情报,以增强联邦调查局的调查能力,并协助AT&T的事件响应工作。”
联邦调查局没有对其中一名网络犯罪嫌疑人的被捕发表评论。
这是AT&T今年披露的第二起安全事件。在客户账户信息缓存(包括用于访问AT&T客户账户的加密密码)被发布在网络犯罪论坛上后,AT&T被迫重置了数百万客户的账户密码。当时,一名安全研究人员告诉TechCrunch,加密密码很容易被解密,这促使AT&T采取预防措施来保护客户账户。
美国FCC:正调查AT&T客户数据泄露事件
美国联邦通信委员会(FCC)当地时间7月12日表示,正调查AT&T公司客户数据遭大规模黑客攻击事件,“并与我们的执法伙伴进行协调”。
AT&T在提交给监管机构的文件中披露,公司的客户数据遭到大规模黑客攻击窃取,其中包括几乎所有用户在2022年5月1日至10月31日期间的通话和短信记录。也有很少量客户2023年1月2日以来的记录被泄露。
该公司称,4月获悉这些信息是从一家第三方云平台上的工作区非法下载的。相关数据虽然不包括客户姓名,但有一些“公开可用的在线工具”可以将号码与人们的身份联系起来。
黑客称AT&T支付了约40万美元以删除数据
一名声称从AT&T公司窃取了敏感通话和短信记录的黑客表示,他们收到了约40万美元的报酬以删除这些数据。对黑客提供的比特币钱包地址的分析显示,5月中旬的一笔交易与勒索付款相符。一位熟悉勒索软件谈判的人士证实了AT&T向黑客支付了款项。
AT&T发言人拒绝就该公司是否支付赎金以遏制黑客攻击后果发表评论,此次攻击可能暴露了2022年六个月期间几乎所有无线客户的大量通话和短信日志。黑客称他们提供这些信息,以及一段他们声称显示删除数据的大约七分钟的视频,是为了证明他们已经履行了与AT&T的协议。