Hackers stelen sms- en belgegevens van ‘bijna alle’ AT&T-klanten

Bij een van de grootste datalekken in de recente geschiedenis hebben hackers metadata van gesprekken en sms-berichten van AT&T-klanten van meerdere maanden gestolen.

AT&T zegt dat hackers de bel- en sms-gegevens van “bijna alle” draadloze klanten hebben verkregen.

Hackers zijn ingebroken in een cloudplatform dat door AT&T wordt gebruikt en hebben de bel- en sms-gegevens van ‘bijna alle’ mobiele klanten van AT&T over een periode van meerdere maanden gedownload, zo maakte AT&T vrijdagochtend bekend.

De gestolen gegevens, die vooral betrekking hebben op gesprekken en sms’jes die tussen mei 2022 en oktober 2022 zijn gemaakt, vormen een enorm significant en ongekend datalek voor AT&T en de telecomindustrie in het algemeen. Metadata, die laten zien met welke nummers een klant heeft gecommuniceerd, zijn doorgaans alleen beschikbaar voor wetshandhaving op een gerichte manier onder juridische procedures. Hier slaagden externe hackers erin om de gegevens zelf te stelen. In de aankondiging zei AT&T dat het gelooft dat de autoriteiten al een van de personen die bij het lek betrokken waren, hebben gearresteerd. 

“Op basis van ons onderzoek bevatten de gecompromitteerde gegevens bestanden met AT&T-registraties van oproepen en sms’jes van bijna alle mobiele klanten van AT&T en klanten van mobiele virtuele netwerkoperators (MVNO’s) op het netwerk van AT&T, evenals vastelijnklanten van AT&T die tussen 1 mei 2022 en 31 oktober 2022 met die mobiele nummers hebben gecommuniceerd”, voegt de verklaring toe. MVNO’s zijn andere telecommunicatiebedrijven die in wezen gebruikmaken van de infrastructuur van een ander om hun eigen diensten en producten te leveren. 

Volgens AT&T had een deel van de gestolen gegevens ook betrekking op gegevens van 2 januari 2023 van “een heel klein aantal klanten”.

In dit geval zei AT&T dat de gestolen metadata geen tijdstempels van oproepen of sms’jes bevatten, wat betekent dat de hackers niet konden zien wanneer een AT&T-klant een bepaald nummer draaide. Maar ze konden nog steeds zien welk nummer werd gebeld of ge-sms’t, informatie die nog steeds zeer gevoelig en persoonlijk is. Zoals AT&T aangeeft, is het soms mogelijk om openbaar beschikbare tools te gebruiken om vervolgens de identiteit te achterhalen van een persoon die eigenaar is van een bepaald telefoonnummer.

AT&T zegt niet te geloven dat de gegevens openbaar beschikbaar zijn.  

AT&T vertelde 404 Media dat de cloudservice van derden die het doelwit was Snowflake was, een datawarehousingtool. Snowflake staat centraal in een steeds toenemend aantal ernstige en opvallende inbreuken, waaronder Ticketmaster en Santander . In juni zei cybersecuritybedrijf Mandiant dat het honderden Snowflake-klantenreferenties had gevonden die sinds 2020 waren blootgesteld door infostealer-malware. Infostealers verzamelen doorgaans referenties van geïnfecteerde machines, waaronder gebruikersnamen en wachtwoorden, maar ook authenticatietokens en cookies. Veel van deze referenties worden vervolgens elke dag gratis verspreid op Telegram. 

Toen Snowflake om commentaar werd gevraagd, verwees hij naar een blogpost die het bedrijf in mei publiceerde en die geschreven was door Brad Jones, CISO van het bedrijf. “We hebben geen bewijs gevonden dat suggereert dat deze activiteit werd veroorzaakt door een kwetsbaarheid, verkeerde configuratie of inbreuk op het platform van Snowflake”, schreef Jones. Snowflake voegde in een e-mail toe dat de karakterisering is geverifieerd door Mandiant en CrowdStrike, een ander cybersecuritybedrijf.

In een document dat op de SEC-website werd geplaatst , zei AT&T dat het Amerikaanse ministerie van Justitie op 9 mei en 5 juni had bepaald dat het uitstellen van de openbare bekendmaking van de inbreuk gerechtvaardigd was. AT&T vertelde 404 Media dat het agentschap dat verantwoordelijk was voor de arrestatie van een verdachte de FBI was.

De FBI bevestigde dat het nauw met AT&T heeft samengewerkt in reactie op de inbreuk en zei dat de partijen de melding van de inbreuk hebben uitgesteld vanwege zorgen over de nationale veiligheid en openbare veiligheid. “Kort nadat een mogelijke inbreuk op klantgegevens was geïdentificeerd en voordat het een beslissing over de materialiteit nam, nam AT&T contact op met de FBI om het incident te melden.

Bij het beoordelen van de aard van de inbreuk bespraken alle partijen een mogelijke vertraging van openbare rapportage onder Item 1.05(c) van de SEC-regel, vanwege mogelijke risico’s voor de nationale veiligheid en/of openbare veiligheid”, vertelde de FBI aan 404 Media in een e-mail. “AT&T, FBI en DOJ werkten samen tijdens het eerste en tweede vertragingsproces, terwijl ze belangrijke informatie over dreigingen deelden om de onderzoeksvaardigheden van de FBI te versterken en AT&T’s incidentresponswerk te ondersteunen.

De FBI geeft prioriteit aan hulp aan slachtoffers van cyberaanvallen, moedigt organisaties aan om voorafgaand aan een cyberincident een relatie op te bouwen met hun lokale FBI-veldkantoor en om in geval van een inbreuk vroegtijdig contact op te nemen met de FBI.”

Senator Ron Wyden vertelde 404 Media in een verklaring dat “dit niet de eerste datalek is die door een groot telefoonbedrijf wordt onthuld en het zal ook niet de laatste zijn. Deze hacks, die bijna altijd het gevolg zijn van ontoereikende cyberbeveiliging, zullen niet stoppen totdat de FCC de providers ter verantwoording roept voor hun nalatigheid. Deze bedrijven zullen de beveiliging van klanten blijven ondermijnen totdat ze in hun portemonnee worden geraakt met miljardenboetes.”

Update: Dit artikel is bijgewerkt met aanvullende informatie uit de SEC-aanvraag van AT&T en een verklaring van de FBI.