De Amerikaanse telecomprovider AT&T heeft bevestigd dat cybercriminelen toegang hebben gekregen tot de gegevens van “bijna alle” mobiele klanten van AT&T, en ook van klanten van mobiele virtuele netwerkoperators (MVNO’s) die gebruikmaken van het draadloze netwerk van AT&T.
“Dreigenden hebben onrechtmatig toegang verkregen tot een AT&T-werkruimte op een extern cloudplatform en hebben tussen 14 en 25 april 2024 bestanden buitgemaakt met AT&T-gegevens van klantgesprekken en sms-interacties die plaatsvonden tussen ongeveer 1 mei en 31 oktober 2022, en op 2 januari 2023”, aldus het rapport.
Dit omvat telefoonnummers waarmee een draadloos AT&T- of MVNO-nummer heeft gecommuniceerd, inclusief telefoonnummers van vastelijnklanten van AT&T en klanten van andere providers, aantallen van die interacties en de totale gespreksduur voor een dag of maand.
Een subset van deze records bevatte ook een of meer identificatienummers van mobiele sites, waardoor de dreigingsactoren mogelijk de geschatte locatie van een klant konden trianguleren wanneer er een oproep werd gedaan of een sms-bericht werd verzonden. AT&T zei dat het huidige en voormalige klanten zal waarschuwen als hun informatie erbij betrokken was.
“De dreigingsactoren hebben gegevens van eerdere inbreuken gebruikt om telefoonnummers aan identiteiten te koppelen,” zei Jake Williams, voormalig NSA-hacker en docent bij IANS Research. “Wat de dreigingsactoren hier hebben gestolen, zijn in feite call data records (CDR), die een goudmijn zijn in inlichtingenanalyses omdat ze kunnen worden gebruikt om te begrijpen wie met wie praat — en wanneer.”
De lijst van MVNO’s van AT&T omvat Black Wireless, Boost Infinite, Consumer Cellular, Cricket Wireless, FreedomPop, FreeUp Mobile, Good2Go, H2O Wireless, PureTalk, Red Pocket, Straight Talk Wireless, TracFone Wireless, Unreal Mobile en Wing.
De naam van de externe cloudprovider is door AT&T niet bekendgemaakt, maar Snowflake heeft inmiddels bevestigd dat de inbreuk verband houdt met de hack die ook andere klanten heeft getroffen, zoals Ticketmaster, Santander, Neiman Marcus en LendingTree, aldus Bloomberg.
Het bedrijf zei dat het op 19 april 2024 op de hoogte raakte van het incident en onmiddellijk zijn reactie-inspanningen activeerde. Het merkte verder op dat het samenwerkt met de wetshandhaving in hun pogingen om de betrokkenen te arresteren, en dat “minstens één persoon is aangehouden.”
404 Media meldde dat een 24-jarige Amerikaanse burger genaamd John Binns, die eerder in mei 2024 in Turkije werd gearresteerd, in verband wordt gebracht met het beveiligingsincident, waarbij drie anonieme bronnen werden aangehaald. Hij werd ook in de VS aangeklaagd voor het infiltreren van T-Mobile in 2021 en het verkopen van klantgegevens.
Er werd echter benadrukt dat de verkregen informatie niet de inhoud van gesprekken of sms’jes, persoonlijke informatie zoals burgerservicenummers, geboortedata of andere persoonlijk identificeerbare informatie omvat.
“Hoewel de gegevens geen namen van klanten bevatten, zijn er vaak manieren om, met behulp van openbaar beschikbare online tools, de naam te vinden die aan een specifiek telefoonnummer is gekoppeld”, aldus het bedrijf in een Formulier 8-K dat is ingediend bij de Amerikaanse Securities and Exchange Commission (SEC).
Het dringt er ook bij gebruikers op aan om op hun hoede te zijn voor phishing, smishing en online fraude door alleen sms-berichten van vertrouwde afzenders te openen. Bovendien kunnen klanten een verzoek indienen om de telefoonnummers van hun oproepen en sms’jes in de illegaal gedownloade gegevens te krijgen.
De kwaadaardige cybercampagne die gericht is op Snowflake heeft maar liefst 165 klanten in het vizier gekregen. Volgens Mandiant, eigendom van Google, is de activiteit toe te schrijven aan een financieel gemotiveerde dreigingsactor met de naam UNC5537. Deze omvat ‘leden gevestigd in Noord-Amerika en werkt samen met een extra lid in Turkije’.
De criminelen hebben betalingen van tussen de $300.000 en $5 miljoen geëist in ruil voor de gestolen data. De laatste ontwikkeling laat zien dat de gevolgen van de cybercrime-golf zich uitbreiden en een cascade-effect hebben gehad.
WIRED onthulde vorige maand hoe de hackers achter de Snowflake-datadiefstallen gestolen Snowflake-inloggegevens verkregen van darkwebservices die toegang verkopen tot gebruikersnamen, wachtwoorden en authenticatietokens die worden vastgelegd door stealer-malware. Dit omvatte het verkrijgen van toegang via een externe contractant genaamd EPAM Systems.
Snowflake kondigde deze week aan dat beheerders nu verplichte multi-factor authenticatie (MFA) kunnen afdwingen voor alle gebruikers om het risico van accountovernames te beperken. Het bedrijf zei ook dat het binnenkort MFA zal vereisen voor alle gebruikers in nieuw aangemaakte Snowflake-accounts.
