Filtración de datos roba registros telefónicos de “casi todos” los clientes de AT&T
(techcrunch.com)- La nueva filtración de datos de AT&T afectó los registros de relaciones de llamadas y mensajes de texto de casi todos sus clientes, y se notificará a unas 110 millones de personas
- Los datos robados se centran en metadatos de llamadas y mensajes de texto del 1 de mayo al 31 de octubre de 2022, y para algunos clientes también incluyen registros del 2 de enero de 2023
- Aunque no incluyen el contenido de los mensajes ni la hora y fecha exactas, sí exponen quién se comunicó con quién, el volumen y la duración de las llamadas, y algunos identificadores de sitios celulares
- Este incidente es independiente del incidente de seguridad de AT&T de marzo y está vinculado con la reciente ola de robo de datos dirigida a cuentas de clientes de Snowflake
- La falta de uso de autenticación multifactor en la protección de cuentas de Snowflake se volvió un punto clave, y Mandiant confirmó robos de datos significativos en unas 165 cuentas de clientes
Alcance de los registros telefónicos filtrados de AT&T
- AT&T tiene previsto notificar a unas 110 millones de personas por este incidente
- Los datos robados incluyen números telefónicos y registros de llamadas y mensajes de texto de clientes de telefonía móvil y fija de AT&T
- El período cubierto es de seis meses, del 1 de mayo de 2022 al 31 de octubre de 2022
- Para algunos clientes también se incluyen registros más recientes del 2 de enero de 2023, pero no se divulgó cuántos clientes son
- Los datos filtrados también incluyen registros de llamadas de clientes de otros operadores móviles que usan la red de AT&T
- Los datos filtrados no incluyen el contenido de llamadas ni mensajes de texto
- Permiten verificar con qué números se comunicó o intercambió mensajes de texto un número específico de AT&T
- Incluyen el total de llamadas y mensajes de texto de los clientes, así como la duración de las llamadas
- No incluyen la hora ni la fecha de las llamadas o mensajes de texto
- Algunos registros incluyen identificadores de sitios celulares asociados a llamadas telefónicas o mensajes de texto
- Con esta información se puede determinar la ubicación aproximada donde se realizó una llamada o se envió un mensaje de texto
- AT&T divulgó el incidente mediante una página de información para clientes y un documento presentado ante reguladores
Robo de cuentas de Snowflake y estado de la investigación
- AT&T tomó conocimiento de esta filtración de datos el 19 de abril y aclaró que no está relacionada con el incidente de seguridad anterior que divulgó en marzo
- Se confirmó que los registros de clientes más recientes fueron robados desde Snowflake como parte de la reciente ola de robo de datos dirigida a clientes de Snowflake
- Snowflake es un servicio que permite a clientes empresariales analizar grandes volúmenes de datos de clientes en la nube
- No se divulgó por qué AT&T almacenaba datos de clientes en Snowflake
- En las últimas semanas, Ticketmaster y QuoteWizard, subsidiaria de LendingTree, también confirmaron que les robaron datos desde Snowflake
- Snowflake considera responsables del robo de datos a los clientes que no usaban autenticación multifactor para proteger sus cuentas
- Snowflake no impuso ni exigió ese recurso de seguridad a sus clientes
- Mandiant, convocada por Snowflake para ayudar con las notificaciones a clientes, confirmó que se robaron cantidades significativas de datos de unas 165 cuentas de clientes de Snowflake
- Mandiant atribuyó esta intrusión a un grupo de ciberdelincuencia aún no clasificado que rastrea como UNC5537
- Se evalúa que esos hackers tienen motivaciones financieras
- Sus integrantes están en Norteamérica, y al menos uno está en Turquía
- Los datos de algunas empresas víctimas del robo de cuentas de Snowflake se publicaron en foros de ciberdelincuencia conocidos, pero AT&T no considera que sus datos estén disponibles públicamente en este momento
- AT&T está colaborando con fuerzas de seguridad para arrestar a los ciberdelincuentes relacionados, y al menos una persona fue arrestada
- La persona arrestada no es empleada de AT&T
- El FBI no hizo comentarios sobre ese arresto
- El FBI confirmó que, después de que AT&T reportara la intrusión, AT&T, el FBI y el Departamento de Justicia acordaron en dos ocasiones retrasar la notificación a los clientes y al público
- El motivo fue el posible riesgo para la seguridad nacional y la seguridad pública
- Durante el proceso de demora, las tres instituciones compartieron información sobre amenazas para apoyar la investigación del FBI y la respuesta al incidente de AT&T
- Este es el segundo incidente de seguridad que AT&T divulga este año
- Anteriormente, después de que se publicara en un foro de ciberdelincuencia una caché de información de cuentas de clientes, AT&T tuvo que restablecer las contraseñas de cuentas de millones de clientes
- Esa caché incluía códigos de acceso cifrados para acceder a cuentas de clientes de AT&T, y un investigador de seguridad consideró que esos códigos podían descifrarse fácilmente
1 comentarios
Opiniones en Hacker News
AT&T tiene 110 millones de clientes, así que si por la intrusión cada cliente tiene que dedicar apenas 1 minuto extra a administrar su cuenta, en total se habrán perdido más de 209 años de tiempo.
Las leyes sobre filtraciones de datos deberían ser mucho más estrictas. Si las filtraciones casi no tienen consecuencias reales, las empresas invertirán solo lo mínimo en seguridad de datos.
Habría que levantar el velo corporativo y procesar penalmente a quienes, por negligencia, permitieron que esto pasara, o imponer multas lo bastante grandes como para que directivos y accionistas reciban un golpe real.
Todos culpan a la empresa, pero me pregunto si a nadie le parece raro que el gobierno tenga registros de toda mi actividad de llamadas. Antes a esto lo habríamos llamado un Estado de vigilancia distópico.
Yo no quisiera ser legalmente responsable si mi software es vulnerado por una falla que no conocía.
Un primer paso razonable podría ser crear estándares, auditorías y certificaciones de terceros para la seguridad de datos, y permitir que los consumidores que valoran la privacidad y la seguridad sepan qué está haciendo cada empresa. Si los consumidores perciben valor ahí, preferirán más a esa empresa y otras podrían seguirla.
No puedo entender que esto todavía no sea ilegal.
AT&T se volvería de la noche a la mañana casi como un servicio con cifrado de extremo a extremo.
La línea en sí no estaría cifrada, así que la NSA aún podría intervenirla, pero al menos en los centros de datos de AT&T podría haber cero almacenamiento modificable, salvo las unidades de arranque, la cola de mensajes SMS y el mapeo entre SIM autorizadas y números de teléfono.
No entiendo por qué en estos tiempos siguen conservando registros de llamadas. Ya ni siquiera son necesarios para su propósito original, que era la facturación.
Si se trata de una “filtración de datos aún en curso que involucra a más de 160 clientes del proveedor de datos en la nube Snowflake”, me pregunto qué hace normalmente Snowflake con todos los datos de AT&T. ¿Los redistribuye a “socios de marketing”? Eso parece.
La declaración de misión en el sitio web de Snowflake dice: “Nuestra misión es derribar silos de datos, superar la complejidad y permitir la colaboración segura de datos entre publishers, anunciantes y las tecnologías clave que los respaldan”.
Entonces esto no parece una intrusión en los sistemas operativos de AT&T, sino que alguien no autorizado obtuvo datos que ya se estaban vendiendo a marketers. Me pregunto si esta interpretación es correcta.
Viendo esta filtración y la naturaleza de los datos que estaban en el data lake de Snowflake, desde la perspectiva de los clientes no creo que este incidente se vea como una “filtración”. La verdadera filtración ya ocurrió mucho más aguas arriba.
Por la naturaleza de los datos en la base de datos y la plataforma en la que estaban almacenados, parece muy probable que esos datos no fueran para uso interno de AT&T, sino para que los usaran externamente terceros como anunciantes o socios de análisis de consumidores, o incluso agencias gubernamentales.
Es decir, si mis datos estaban en ese repositorio, yo consideraría que ya se “filtraron” en el momento en que entraron ahí. El problema aquí, desde la perspectiva de AT&T y del FBI, parece ser que se filtraron a las personas equivocadas.
No importa si es AT&T, un banco o el gobierno. En ninguna circunstancia se puede esperar que la información sensible permanezca privada.
Antes, cuando se les presentaba internet a los niños, se les enseñaba esto casi como una regla absoluta; es increíble cuánto ha cambiado en 20 años.
La acción de AT&T ya se recuperó bastante de una caída inicial de -2,6% esta mañana, así que el mercado parece considerar que AT&T es inmune. En cambio, Snowflake cae -3,9%, y tiene muchos clientes además de AT&T.
https://www.marketwatch.com/investing/stock/T
https://www.marketwatch.com/investing/stock/SNOW
Si se ve algún efecto en el precio de la acción, creo que probablemente no esté relacionado con esta noticia.
En este caso, según el artículo, Snowflake también fue la causa de las filtraciones de Ticketmaster y Lending Tree, así que ahora tiene sentido que caiga mucho la confianza en Snowflake.
Me imagino que el resultado de la demanda colectiva terminará siendo que, en vez de recibir 2 dólares cada uno, les darán una prueba gratis de algún servicio adicional de tonos de llamada de principios de los 2000, lo que al final solo aumentará los ingresos recurrentes.
En Europa, almacenar registros telefónicos de forma amplia más allá de lo necesario para operar habría sido ilegal en varios países y, en general, tampoco sería compatible con el Convenio Europeo de Derechos Humanos salvo que se trate de una medida temporal bajo supervisión judicial y ante una amenaza real a la seguridad nacional[1]
No hay razón para que un proveedor de servicios almacene esto desde el principio, y tampoco sería difícil corregirlo por ley. Simplemente bastaría con ilegalizar su conservación
[1] https://curia.europa.eu/juris/document/document.jsf?text=&do...
Alemania es de los más cortos, con 10 semanas, pero aun así esos registros deben conservarse
Decir que recopilar este tipo de registros es ilegal en Europa es claramente incorrecto; más aún, la recopilación de registros suele ser obligatoria durante un periodo definido por cada país
Los registros de llamadas son necesarios para la facturación. Como es común que los clientes impugnen cargos en la factura, también hay que conservarlos durante un tiempo adicional
Lamentablemente, en EE. UU. parece valorarse más la “innovación disruptiva” que la protección del cliente, por eso las protecciones legales de datos no son populares en el Congreso
Me parece que eso caería más bajo las restricciones del GDPR
Los consumidores se han vuelto tan insensibles a las filtraciones de datos que ya casi no hay indignación ante incidentes como este. Si no hay indignación de los consumidores, creo que las empresas tienen muy pocos incentivos para esforzarse más en evitar filtraciones de datos
Si empiezan a imponer multas de miles de millones de dólares por filtraciones como esta, las empresas de pronto invertirán en seguridad
Pero con los fallos recientes de la Corte Suprema que están debilitando el poder de las agencias gubernamentales, parece que no será posible
Ahora parece que habrá que depender de los tribunales civiles, es decir, de las demandas colectivas, para imponer multas
Cerré mi cuenta de AT&T hace más de 10 años, pero en el hackeo anterior de marzo de este año todavía tenían almacenados mi antigua dirección, mi nombre completo y mi número de Seguro Social
Es realmente absurdo que no existan buenas leyes para castigar de forma real a las organizaciones incompetentes
A principios de este año, mi número de Seguro Social terminó en la dark web por una filtración de AT&T o de uno de sus proveedores. Un año de monitoreo no alcanza. Lo necesito de por vida
La seguridad no les importa. No hay ningún incentivo real para cambiar el estado actual. Estas empresas deberían estar obligadas a pagar monitoreo indefinidamente
En mi país, el número nacional de identidad se puede calcular a partir de la fecha de nacimiento, un número incremental según el orden de nacimiento de ese día y un dígito de checksum; y si haces aunque sea un poco de actividad como independiente, tienes que poner tu número fiscal personal en todos los recibos o documentos de compras comerciales
Saber que el número de ID del primer niño varón nacido hoy es 120702450001X no ayuda a hacer nada malo. No hice el cálculo del checksum porque da flojera, pero el algoritmo es público
Hay que pensar qué pasa con las personas que llamaron a una línea de prevención del suicidio, a una clínica de abortos, a un servicio de pago de préstamos, etc.
Con el número de teléfono se puede averiguar eso
Según el artículo de TechCrunch, también se incluyeron identificadores de torres celulares, lo que significa que también había información aproximada de ubicación
https://techcrunch.com/2024/07/12/att-phone-records-stolen-d...
Así que no sé dónde está mi compensación. Claro, sé que no hay remedio
Esto es lo que pasa cuando nadie se hace responsable de aplicar prácticas seguras, como activar la autenticación multifactor en repositorios de datos que contienen enormes cantidades de información personal de clientes
Solo lo reportan y siguen adelante, sin siquiera disculparse. Termina en algo como: “uy, esos malditos ciberdelincuentes”