Hackers roban registros de llamadas y SMS de casi todos los clientes de AT&T
(krebsonsecurity.com)- Se filtraron registros de interacciones de llamadas y mensajes de texto de aproximadamente 110 millones de personas, casi todos los clientes de AT&T, en un incidente que permite inferir relaciones de contacto y algunas ubicaciones incluso sin el contenido de los mensajes
- En abril de 2024, los intrusos accedieron al workspace de AT&T en una plataforma en la nube de terceros y descargaron archivos de registros correspondientes al período del 1 de mayo al 31 de octubre de 2022 y al 2 de enero de 2023
- Los datos filtrados no incluían el contenido de llamadas o mensajes, números de Social Security, fechas de nacimiento ni otra información de identificación personal, pero sí incluían números telefónicos y cierta información de ubicación de torres celulares
- AT&T retrasó la divulgación a pedido de agencias federales de investigación y por preocupaciones de seguridad nacional y seguridad pública; el FBI confirmó conversaciones sobre el retraso conforme al SEC Rule Item 1.05(c)
- El incidente está vinculado con brechas relacionadas con Snowflake, y la práctica de proteger grandes volúmenes de datos de clientes solo con nombre de usuario y contraseña, junto con la ausencia de autenticación multifactor, sigue siendo un riesgo clave
Filtración de registros de AT&T que afectó a casi todos sus clientes
- AT&T Corp. informó que una nueva brecha de datos expuso registros de llamadas telefónicas y mensajes de texto de aproximadamente 110 millones de personas
- El alcance afecta a casi todos los clientes de AT&T e incluye también registros de llamadas y mensajes de proveedores móviles que revenden servicios de AT&T
- Algunos registros contenían datos que podían usarse para determinar la ubicación desde donde se realizó una llamada o se envió un mensaje
Datos filtrados y datos no incluidos
- En abril de 2024, los intrusos accedieron al workspace de AT&T en una plataforma en la nube de terceros
- Los archivos descargados incluían registros de interacciones de llamadas y mensajes de clientes de los siguientes períodos:
- Del 1 de mayo al 31 de octubre de 2022
- 2 de enero de 2023
- Los datos filtrados no incluían lo siguiente:
- Contenido de llamadas
- Contenido de mensajes de texto
- Números de Social Security
- Fechas de nacimiento
- Otra información de identificación personal
- Algunos registros incluían información de ubicación de la torre de comunicación celular más cercana al suscriptor
- Esta información puede usarse para determinar la ubicación aproximada del dispositivo del cliente que envió mensajes o realizó y recibió llamadas
- Aunque los datos no incluían nombres de clientes, AT&T reconoció que a menudo existen formas de encontrar, mediante herramientas públicas en línea, nombres asociados con números telefónicos específicos
Retraso en la divulgación y avance de la investigación
- AT&T se enteró de la brecha el 19 de abril de 2024, pero retrasó su divulgación a pedido de agencias federales de investigación
- Según la presentación de AT&T ante la SEC, al menos una persona fue detenida por las autoridades en relación con esta brecha
- El FBI confirmó que pidió a AT&T retrasar la notificación a los clientes afectados
- Poco después de que AT&T confirmara una posible brecha de datos de clientes, reportó el incidente al FBI, y AT&T, el FBI y el DOJ discutieron la posibilidad de retrasar la divulgación conforme al SEC Rule Item 1.05(c)
- El motivo del retraso fueron posibles riesgos para la seguridad nacional y la seguridad pública
Brecha de Snowflake y ausencia de autenticación multifactor
- Según un vocero de AT&T citado por TechCrunch, este robo de datos de clientes fue resultado de una brecha de datos en curso relacionada con más de 160 clientes del proveedor de datos en la nube Snowflake
- Los atacantes identificaron que varias grandes empresas habían subido grandes volúmenes de datos sensibles de clientes a servidores de Snowflake y protegían las cuentas solo con nombre de usuario y contraseña
- Según Wired, los hackers detrás del robo de datos de Snowflake compraron credenciales de Snowflake robadas en servicios de la dark web
- Esas credenciales incluían nombres de usuario, contraseñas y tokens de autenticación extraídos por malware ladrón de información
- Snowflake ahora exige el uso de autenticación multifactor a todos sus nuevos clientes
- La base de datos en la nube donde quedaron expuestos los registros de clientes de AT&T también estaba protegida solo con nombre de usuario y contraseña, y no requería autenticación multifactor
Otras empresas afectadas por Snowflake y brechas anteriores de AT&T
- Otras empresas a las que les robaron millones de registros de clientes desde servidores de Snowflake incluyen:
- Advance Auto Parts
- Allstate
- Anheuser-Busch
- Los Angeles Unified
- Mitsubishi
- Neiman Marcus
- Pure Storage
- Santander Bank
- State Farm
- Ticketmaster
- A comienzos de este año, AT&T reconoció una brecha de datos de 2018 que afectó a unos 7,6 millones de titulares de cuentas actuales y a unos 65,4 millones de antiguos titulares, tras lo cual restableció las contraseñas de millones de clientes
- Los datos expuestos de Advance Auto Parts incluían nombres completos, números de Social Security, licencias de conducir e identificaciones emitidas por el gobierno de 2,3 millones de empleados actuales o anteriores, o postulantes a empleo
Riesgos que deja la metadata de llamadas y mensajes
- El arquitecto de seguridad de aplicaciones Mark Burnett considera que el uso real de los datos robados en esta brecha de AT&T está en saber quién contactó a quién y cuántas veces
- Burnett señaló que lo que más le preocupa de esta filtración no es la base de datos principal de AT&T, sino la metadata sobre “quién contactó a quién”
- Aunque los registros de llamadas no tengan marcas de tiempo ni nombres, queda abierta la pregunta de para qué se usaron esos registros
Responsabilidad empresarial e impacto financiero
- La práctica de grandes empresas de almacenar datos sensibles de clientes con pocas protecciones de seguridad sigue siendo un problema poco claro
- Salvo cuando se presentan demandas colectivas después de una brecha de datos, no existen muchos mecanismos para responsabilizar a las empresas por prácticas de seguridad deficientes
- AT&T informó a la SEC que no cree probable que este incidente tenga un impacto material en su situación financiera o resultados operativos
- Los ingresos del trimestre más reciente de AT&T superaron los 30.000 millones de dólares
1 comentarios
Comentarios de Hacker News
Los comentarios fueron movidos a https://news.ycombinator.com/item?id=40944505
Enlaces de discusión relacionados:
(272 puntos, hace 7 horas, 210 comentarios) https://news.ycombinator.com/item?id=40944505
(76 puntos, hace 6 horas, 31 comentarios) https://news.ycombinator.com/item?id=40944839
Es una publicación duplicada, y la discusión adicional está en https://news.ycombinator.com/item?id=40944505