1 puntos por GN⁺ 2024-07-13 | 1 comentarios | Compartir por WhatsApp
  • La nueva filtración de datos de AT&T afectó los registros de relaciones de llamadas y mensajes de texto de casi todos sus clientes, y se notificará a unas 110 millones de personas
  • Los datos robados se centran en metadatos de llamadas y mensajes de texto del 1 de mayo al 31 de octubre de 2022, y para algunos clientes también incluyen registros del 2 de enero de 2023
  • Aunque no incluyen el contenido de los mensajes ni la hora y fecha exactas, sí exponen quién se comunicó con quién, el volumen y la duración de las llamadas, y algunos identificadores de sitios celulares
  • Este incidente es independiente del incidente de seguridad de AT&T de marzo y está vinculado con la reciente ola de robo de datos dirigida a cuentas de clientes de Snowflake
  • La falta de uso de autenticación multifactor en la protección de cuentas de Snowflake se volvió un punto clave, y Mandiant confirmó robos de datos significativos en unas 165 cuentas de clientes

Alcance de los registros telefónicos filtrados de AT&T

  • AT&T tiene previsto notificar a unas 110 millones de personas por este incidente
  • Los datos robados incluyen números telefónicos y registros de llamadas y mensajes de texto de clientes de telefonía móvil y fija de AT&T
    • El período cubierto es de seis meses, del 1 de mayo de 2022 al 31 de octubre de 2022
    • Para algunos clientes también se incluyen registros más recientes del 2 de enero de 2023, pero no se divulgó cuántos clientes son
  • Los datos filtrados también incluyen registros de llamadas de clientes de otros operadores móviles que usan la red de AT&T
  • Los datos filtrados no incluyen el contenido de llamadas ni mensajes de texto
    • Permiten verificar con qué números se comunicó o intercambió mensajes de texto un número específico de AT&T
    • Incluyen el total de llamadas y mensajes de texto de los clientes, así como la duración de las llamadas
    • No incluyen la hora ni la fecha de las llamadas o mensajes de texto
  • Algunos registros incluyen identificadores de sitios celulares asociados a llamadas telefónicas o mensajes de texto
    • Con esta información se puede determinar la ubicación aproximada donde se realizó una llamada o se envió un mensaje de texto
  • AT&T divulgó el incidente mediante una página de información para clientes y un documento presentado ante reguladores

Robo de cuentas de Snowflake y estado de la investigación

  • AT&T tomó conocimiento de esta filtración de datos el 19 de abril y aclaró que no está relacionada con el incidente de seguridad anterior que divulgó en marzo
  • Se confirmó que los registros de clientes más recientes fueron robados desde Snowflake como parte de la reciente ola de robo de datos dirigida a clientes de Snowflake
    • Snowflake es un servicio que permite a clientes empresariales analizar grandes volúmenes de datos de clientes en la nube
    • No se divulgó por qué AT&T almacenaba datos de clientes en Snowflake
  • En las últimas semanas, Ticketmaster y QuoteWizard, subsidiaria de LendingTree, también confirmaron que les robaron datos desde Snowflake
  • Snowflake considera responsables del robo de datos a los clientes que no usaban autenticación multifactor para proteger sus cuentas
    • Snowflake no impuso ni exigió ese recurso de seguridad a sus clientes
    • Mandiant, convocada por Snowflake para ayudar con las notificaciones a clientes, confirmó que se robaron cantidades significativas de datos de unas 165 cuentas de clientes de Snowflake
  • Mandiant atribuyó esta intrusión a un grupo de ciberdelincuencia aún no clasificado que rastrea como UNC5537
    • Se evalúa que esos hackers tienen motivaciones financieras
    • Sus integrantes están en Norteamérica, y al menos uno está en Turquía
  • Los datos de algunas empresas víctimas del robo de cuentas de Snowflake se publicaron en foros de ciberdelincuencia conocidos, pero AT&T no considera que sus datos estén disponibles públicamente en este momento
  • AT&T está colaborando con fuerzas de seguridad para arrestar a los ciberdelincuentes relacionados, y al menos una persona fue arrestada
    • La persona arrestada no es empleada de AT&T
    • El FBI no hizo comentarios sobre ese arresto
  • El FBI confirmó que, después de que AT&T reportara la intrusión, AT&T, el FBI y el Departamento de Justicia acordaron en dos ocasiones retrasar la notificación a los clientes y al público
    • El motivo fue el posible riesgo para la seguridad nacional y la seguridad pública
    • Durante el proceso de demora, las tres instituciones compartieron información sobre amenazas para apoyar la investigación del FBI y la respuesta al incidente de AT&T
  • Este es el segundo incidente de seguridad que AT&T divulga este año
    • Anteriormente, después de que se publicara en un foro de ciberdelincuencia una caché de información de cuentas de clientes, AT&T tuvo que restablecer las contraseñas de cuentas de millones de clientes
    • Esa caché incluía códigos de acceso cifrados para acceder a cuentas de clientes de AT&T, y un investigador de seguridad consideró que esos códigos podían descifrarse fácilmente

1 comentarios

 
GN⁺ 2024-07-13
Opiniones en Hacker News
  • AT&T tiene 110 millones de clientes, así que si por la intrusión cada cliente tiene que dedicar apenas 1 minuto extra a administrar su cuenta, en total se habrán perdido más de 209 años de tiempo.
    Las leyes sobre filtraciones de datos deberían ser mucho más estrictas. Si las filtraciones casi no tienen consecuencias reales, las empresas invertirán solo lo mínimo en seguridad de datos.
    Habría que levantar el velo corporativo y procesar penalmente a quienes, por negligencia, permitieron que esto pasara, o imponer multas lo bastante grandes como para que directivos y accionistas reciban un golpe real.

    • Me sorprende que nadie señale que empresas como AT&T no recopilan esos datos por diversión. Cuesta mucho dinero, pero lo hacen porque el gobierno se los exige por ley.
      Todos culpan a la empresa, pero me pregunto si a nadie le parece raro que el gobierno tenga registros de toda mi actividad de llamadas. Antes a esto lo habríamos llamado un Estado de vigilancia distópico.
    • Si de verdad quieren arreglar algo, la única forma es golpear a los accionistas. Hasta que los ricos pierdan dinero y los ejecutivos C-level y el directorio tengan que enfrentar responsabilidades, seguirán dándose palmadas en la espalda y cobrando bonos.
    • La persona responsable de la “negligencia que permitió esto” probablemente sea un empleado común de operaciones. Cuidado con lo que deseas.
      Yo no quisiera ser legalmente responsable si mi software es vulnerado por una falla que no conocía.
      Un primer paso razonable podría ser crear estándares, auditorías y certificaciones de terceros para la seguridad de datos, y permitir que los consumidores que valoran la privacidad y la seguridad sepan qué está haciendo cada empresa. Si los consumidores perciben valor ahí, preferirán más a esa empresa y otras podrían seguirla.
    • La ley que habría evitado filtraciones como esta es una que haga ilegal que las telefónicas vendan datos de clientes. La razón por la que AT&T metió todos los datos en Snowflake fue vender a marketers la ubicación de sus clientes y sus redes sociales.
      No puedo entender que esto todavía no sea ilegal.
    • Imaginen un mundo en el que, si sufres una filtración de datos, durante 10 años no puedas recolectar, ni siquiera conservar o vender, ese tipo de datos, y que esta regla tenga prioridad sobre las leyes que exigen recopilar datos.
      AT&T se volvería de la noche a la mañana casi como un servicio con cifrado de extremo a extremo.
      La línea en sí no estaría cifrada, así que la NSA aún podría intervenirla, pero al menos en los centros de datos de AT&T podría haber cero almacenamiento modificable, salvo las unidades de arranque, la cola de mensajes SMS y el mapeo entre SIM autorizadas y números de teléfono.
      No entiendo por qué en estos tiempos siguen conservando registros de llamadas. Ya ni siquiera son necesarios para su propósito original, que era la facturación.
  • Si se trata de una “filtración de datos aún en curso que involucra a más de 160 clientes del proveedor de datos en la nube Snowflake”, me pregunto qué hace normalmente Snowflake con todos los datos de AT&T. ¿Los redistribuye a “socios de marketing”? Eso parece.
    La declaración de misión en el sitio web de Snowflake dice: “Nuestra misión es derribar silos de datos, superar la complejidad y permitir la colaboración segura de datos entre publishers, anunciantes y las tecnologías clave que los respaldan”.
    Entonces esto no parece una intrusión en los sistemas operativos de AT&T, sino que alguien no autorizado obtuvo datos que ya se estaban vendiendo a marketers. Me pregunto si esta interpretación es correcta.

    • Puede que no sea muy distinto a que se filtre algo como Salesforce y sus grandes clientes se vean afectados. Las grandes empresas usan servicios SaaS para buena parte de sus tareas de back office.
    • Snowflake es principalmente una base de datos en la nube para OLAP. La cuenta de AT&T estaba protegida con una mala contraseña y sin autenticación multifactor.
    • AT&T podría haber estado usando Snowflake para análisis internos.
    • Si es así, probablemente AT&T esté más enojada que nada porque no le pagaron por esos datos.
  • Viendo esta filtración y la naturaleza de los datos que estaban en el data lake de Snowflake, desde la perspectiva de los clientes no creo que este incidente se vea como una “filtración”. La verdadera filtración ya ocurrió mucho más aguas arriba.
    Por la naturaleza de los datos en la base de datos y la plataforma en la que estaban almacenados, parece muy probable que esos datos no fueran para uso interno de AT&T, sino para que los usaran externamente terceros como anunciantes o socios de análisis de consumidores, o incluso agencias gubernamentales.
    Es decir, si mis datos estaban en ese repositorio, yo consideraría que ya se “filtraron” en el momento en que entraron ahí. El problema aquí, desde la perspectiva de AT&T y del FBI, parece ser que se filtraron a las personas equivocadas.

    • El problema de la recopilación indiscriminada de datos y de las bases de datos tipo Snowflake es que, en cuanto ingresas cualquier información personal en internet, deja de estar segura. Con suficiente tiempo, toda esa información se “comparte” y se usa para intereses financieros o políticos de terceros.
      No importa si es AT&T, un banco o el gobierno. En ninguna circunstancia se puede esperar que la información sensible permanezca privada.
      Antes, cuando se les presentaba internet a los niños, se les enseñaba esto casi como una regla absoluta; es increíble cuánto ha cambiado en 20 años.
    • Me pregunto cuántas veces Snowflake habrá transmitido públicamente material de abuso sexual infantil de clientes de AT&T, por estar obsesionada con tragarse y vender datos en lugar de verificarlos.
  • La acción de AT&T ya se recuperó bastante de una caída inicial de -2,6% esta mañana, así que el mercado parece considerar que AT&T es inmune. En cambio, Snowflake cae -3,9%, y tiene muchos clientes además de AT&T.
    https://www.marketwatch.com/investing/stock/T
    https://www.marketwatch.com/investing/stock/SNOW

    • Nunca me dio la impresión de que al mercado le importen las filtraciones de datos. También parece raro que la mayoría de las empresas rindan cuentas financieramente por ellas.
      Si se ve algún efecto en el precio de la acción, creo que probablemente no esté relacionado con esta noticia.
    • Es parecido a haber metido datos en Salesforce y que Salesforce se filtre. Puede haber responsabilidad por elegir mal al proveedor, pero la verdadera pérdida de confianza recaería en Salesforce.
      En este caso, según el artículo, Snowflake también fue la causa de las filtraciones de Ticketmaster y Lending Tree, así que ahora tiene sentido que caiga mucho la confianza en Snowflake.
    • El costo no es un gran problema y los clientes no se irán a otro lado.
      Me imagino que el resultado de la demanda colectiva terminará siendo que, en vez de recibir 2 dólares cada uno, les darán una prueba gratis de algún servicio adicional de tonos de llamada de principios de los 2000, lo que al final solo aumentará los ingresos recurrentes.
  • En Europa, almacenar registros telefónicos de forma amplia más allá de lo necesario para operar habría sido ilegal en varios países y, en general, tampoco sería compatible con el Convenio Europeo de Derechos Humanos salvo que se trate de una medida temporal bajo supervisión judicial y ante una amenaza real a la seguridad nacional[1]
    No hay razón para que un proveedor de servicios almacene esto desde el principio, y tampoco sería difícil corregirlo por ley. Simplemente bastaría con ilegalizar su conservación
    [1] https://curia.europa.eu/juris/document/document.jsf?text=&do...

    • Al contrario, muchos países europeos tienen periodos obligatorios de retención de datos, y en muchos casos son iguales o más largos que los 6 meses de registros incluidos en esta filtración
      Alemania es de los más cortos, con 10 semanas, pero aun así esos registros deben conservarse
      Decir que recopilar este tipo de registros es ilegal en Europa es claramente incorrecto; más aún, la recopilación de registros suele ser obligatoria durante un periodo definido por cada país
      Los registros de llamadas son necesarios para la facturación. Como es común que los clientes impugnen cargos en la factura, también hay que conservarlos durante un tiempo adicional
    • Hay muchas razones para almacenarlos. Solo que la mayoría van en contra de la forma en que la gente cree que deberían operar las empresas
      Lamentablemente, en EE. UU. parece valorarse más la “innovación disruptiva” que la protección del cliente, por eso las protecciones legales de datos no son populares en el Congreso
    • Tenía entendido que no se permite que el gobierno ordene a las telefónicas almacenar todos los registros de llamadas de esta manera. Aunque parece que no puede impedir que las telefónicas lo hagan por su cuenta
      Me parece que eso caería más bajo las restricciones del GDPR
    • Parece que vives en un lugar donde el gobierno está al servicio de la gente. No un gobierno al servicio de sí mismo
    • Lo que quiere la NSA, la NSA se lo lleva. Si el sistema funciona como fue diseñado, no hace falta legislación adicional
  • Los consumidores se han vuelto tan insensibles a las filtraciones de datos que ya casi no hay indignación ante incidentes como este. Si no hay indignación de los consumidores, creo que las empresas tienen muy pocos incentivos para esforzarse más en evitar filtraciones de datos

    • Empieza a sentirse como si la privacidad de los datos ya no existiera. Ni siquiera sé por qué los administradores de grandes bases de datos de clientes se molestan en poner contraseñas hoy en día
    • Después de lo de Equifax, parece que a nadie le importa. Tendría que haber una gran filtración B2B que exponga datos críticos del negocio, no información común como nombres, direcciones y números de teléfono, para que se lo tome como algo grave
    • AT&T es una empresa que cotiza en bolsa. Las empresas que cotizan en bolsa deberían pagar multas acordes
      Si empiezan a imponer multas de miles de millones de dólares por filtraciones como esta, las empresas de pronto invertirán en seguridad
      Pero con los fallos recientes de la Corte Suprema que están debilitando el poder de las agencias gubernamentales, parece que no será posible
      Ahora parece que habrá que depender de los tribunales civiles, es decir, de las demandas colectivas, para imponer multas
    • Muchas empresas parecen creer que pueden resolver este problema tirándole dinero a los equipos de ciberseguridad. Pero los equipos de ciberseguridad a menudo no son efectivos
    • No sé por qué no hicimos nada incluso cuando estábamos enojados
  • Cerré mi cuenta de AT&T hace más de 10 años, pero en el hackeo anterior de marzo de este año todavía tenían almacenados mi antigua dirección, mi nombre completo y mi número de Seguro Social
    Es realmente absurdo que no existan buenas leyes para castigar de forma real a las organizaciones incompetentes

  • A principios de este año, mi número de Seguro Social terminó en la dark web por una filtración de AT&T o de uno de sus proveedores. Un año de monitoreo no alcanza. Lo necesito de por vida
    La seguridad no les importa. No hay ningún incentivo real para cambiar el estado actual. Estas empresas deberían estar obligadas a pagar monitoreo indefinidamente

    • No entiendo que en EE. UU. se trate el número de Seguro Social como si fuera secreto. No debería ser una “contraseña”, sino un “nombre de usuario”
      En mi país, el número nacional de identidad se puede calcular a partir de la fecha de nacimiento, un número incremental según el orden de nacimiento de ese día y un dígito de checksum; y si haces aunque sea un poco de actividad como independiente, tienes que poner tu número fiscal personal en todos los recibos o documentos de compras comerciales
      Saber que el número de ID del primer niño varón nacido hoy es 120702450001X no ayuda a hacer nada malo. No hice el cálculo del checksum porque da flojera, pero el algoritmo es público
    • Según el caso, el número de Seguro Social podría ser el menor de los problemas entre la información filtrada
      Hay que pensar qué pasa con las personas que llamaron a una línea de prevención del suicidio, a una clínica de abortos, a un servicio de pago de préstamos, etc.
      Con el número de teléfono se puede averiguar eso
    • Cuando fui a la universidad a fines de los 80, mi número de Seguro Social se usó automáticamente como número de identificación estudiantil. Cuando abrí mi primera cuenta bancaria en 1990, el número de Seguro Social se usó como número de cuenta
    • La propia Administración del Seguro Social es insostenible, así que si falla en los próximos 10 años, esto dejará de ser un problema
  • Según el artículo de TechCrunch, también se incluyeron identificadores de torres celulares, lo que significa que también había información aproximada de ubicación
    https://techcrunch.com/2024/07/12/att-phone-records-stolen-d...

  • Así que no sé dónde está mi compensación. Claro, sé que no hay remedio
    Esto es lo que pasa cuando nadie se hace responsable de aplicar prácticas seguras, como activar la autenticación multifactor en repositorios de datos que contienen enormes cantidades de información personal de clientes
    Solo lo reportan y siguen adelante, sin siquiera disculparse. Termina en algo como: “uy, esos malditos ciberdelincuentes”

    • Si vas a la corte y pides compensación, probablemente te exigirán demostrar el daño. ¿Podrías demostrarlo?
    • Me han llegado cheques algunas veces por cosas así. Al final llenas un formulario de reclamación, esperas unos 5 años y un día llega por correo un cheque por una cantidad minúscula