การละเมิดข้อมูลเปิดเผยบันทึกการโทรและข้อความสำหรับลูกค้าไร้สายเกือบทั้งหมดของ AT&T และเชื่อมโยงกับการโจมตีล่าสุดที่มุ่งเป้าไปที่ลูกค้า Snowflake
การละเมิดข้อมูลขนาดใหญ่ที่ AT&T ที่เปิดเผยลูกค้าไร้สายเกือบทั้งหมดเชื่อมโยงกับการโจมตีล่าสุดที่มุ่งเป้าไปที่ลูกค้า Snowflake
เมื่อวันศุกร์ที่ผ่านมา AT&T กล่าวว่าลูกค้าไร้สายเกือบทั้งหมดถูกเปิดเผยในแฮ็กขนาดใหญ่ที่เกิดขึ้นระหว่างวันที่ 14 เมษายน ถึง 25 เมษายน 2024 ซึ่งแฮ็กเกอร์ได้ขโมยไฟล์ที่มี “บันทึกการโทรและข้อความของลูกค้า” ระหว่างวันที่ 1 พฤษภาคม ถึง 31 ตุลาคม 2022 รวมถึงวันที่ 2 มกราคม 2023
ในรายงานของ SEC บริษัทโทรคมนาคมระดับโลกกล่าวว่าข้อมูลที่ถูกขโมยไม่รวมถึงเนื้อหาของการโทรหรือข้อความ ข้อมูลส่วนบุคคลเช่นหมายเลขประกันสังคม วันเกิด หรือข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้อื่น ๆ
“การวิเคราะห์ในปัจจุบันระบุว่าข้อมูลนี้รวมถึงบันทึกการโทรและข้อความของลูกค้าไร้สายเกือบทั้งหมดของ AT&T และลูกค้าของผู้ให้บริการเครือข่ายมือถือเสมือน (“MVNO”) ที่ใช้เครือข่ายไร้สายของ AT&T ในช่วงเวลาดังกล่าว” บริษัทเปิดเผยในรายงาน “บันทึกเหล่านี้ระบุหมายเลขโทรศัพท์ที่หมายเลขไร้สาย AT&T หรือ MVNO โต้ตอบด้วยในช่วงเวลาดังกล่าว รวมถึงหมายเลขโทรศัพท์ของลูกค้าโทรศัพท์สายของ AT&T และลูกค้าของผู้ให้บริการอื่น ๆ จำนวนการโต้ตอบเหล่านั้น และระยะเวลาการโทรรวมต่อวันหรือเดือน สำหรับบันทึกย่อยบางส่วน จะมีหมายเลขระบุเซลล์ไซต์หนึ่งหรือมากกว่ารวมอยู่ด้วย”
บริษัทยังอธิบายว่าถึงแม้ว่าข้อมูลดังกล่าวจะไม่รวมชื่อของลูกค้า แต่ก็มีวิธีการหาชื่อที่เชื่อมโยงกับหมายเลขโทรศัพท์เฉพาะผ่านเครื่องมือออนไลน์ที่มีอยู่ในที่สาธารณะ
“แม้ว่าข้อมูลที่เปิดเผยจะไม่ได้มีข้อมูลที่ละเอียดอ่อนโดยตรง แต่ก็สามารถใช้ประกอบเหตุการณ์และการที่ใครโทรหาใครได้” Thomas Richards ที่ปรึกษาหลักที่ Synopsys Software Integrity Group กล่าว “นี่อาจส่งผลกระทบต่อชีวิตส่วนตัวของผู้คนเมื่อการโทรและการเชื่อมต่อส่วนตัวอาจถูกเปิดเผย หมายเลขโทรศัพท์ธุรกิจจะสามารถระบุได้ง่ายและหมายเลขส่วนตัวสามารถจับคู่กับชื่อด้วยการค้นหาข้อมูลสาธารณะ”
“โดยการใช้การค้นหาสาธารณะหรือข้อมูลจากการละเมิดข้อมูลอื่น ๆ ที่สามารถเข้าถึงได้ฟรีบนเว็บมืด เป็นไปได้ที่จะเชื่อมโยงข้อมูลและเชื่อมหมายเลขโทรศัพท์กับบุคคลและที่อยู่อีเมล” Tony Anscombe, Chief Security Evangelist ของ ESET กล่าว “นี่อาจนำไปสู่การโจมตีที่เป็นเป้าหมายโดยใช้ความรู้ที่ได้จากการโจมตีของ AT&T”
“หากคุณได้รับข้อความที่อ้างว่าเป็นจากบุคคลที่คุณโทรหรือส่งข้อความบ่อย ๆ พร้อมกับ ‘นี่คือหมายเลขใหม่ของฉัน’ ฉันแนะนำให้โทรหาบุคคลนั้นในหมายเลขที่คุณมีหรือส่งอีเมลเพื่อยืนยันหมายเลขใหม่ก่อนที่จะโต้ตอบ” Anscombe กล่าวต่อ “ปัญหาไม่ใช่เพียงแค่การละเมิดข้อมูลครั้งเดียว มันเกี่ยวกับบริบทที่มันอาจเพิ่มให้กับข้อมูลอื่น ๆ ที่ถูกละเมิดแล้ว ชุดข้อมูลรวมนี้ทำให้แฮ็กเกอร์สามารถสร้างโปรไฟล์บุคคลเพื่อวัตถุประสงค์ในการสืบค้นแบบเจาะจงและการขโมยข้อมูลส่วนตัวได้”
แม้ว่า AT&T จะรายงานเหตุการณ์นี้ต่อ SEC แต่ก็อ้างว่าเหตุการณ์นี้ “ไม่ได้มีผลกระทบต่อการดำเนินงานของ AT&T อย่างมีนัยสำคัญ และ AT&T ไม่เชื่อว่าเหตุการณ์นี้มีความเป็นไปได้ที่จะมีผลกระทบต่อสภาพการเงินหรือผลลัพธ์การดำเนินงานของ AT&T อย่างมีนัยสำคัญ”
AT&T มีลูกค้าไร้สายประมาณ 115 ล้านคน
AT&T ถูกแฮ็กได้อย่างไร?
AT&T กล่าวว่า ข้อมูลลูกค้าถูก “ดาวน์โหลดผิดกฎหมายจากพื้นที่ทำงานของเราบนแพลตฟอร์มคลาวด์ของบุคคลที่สาม” แม้บริษัทจะไม่ได้ระบุชื่อแพลตฟอร์ม แต่หลายแหล่งได้เชื่อมโยงเหตุการณ์นี้กับการขโมยข้อมูลจากแพลตฟอร์ม Snowflake เมื่อไม่นานมานี้ ซึ่งผู้โจมตีได้บุกรุกหลายร้อยอินสแตนซ์ของ Snowflake
ในเดือนมิถุนายน Mandiant กล่าวว่า แฮ็กเกอร์ที่มีจุดประสงค์ทางการเงินที่ถูกติดตามว่า UNC5537 ได้บุกรุกหลายร้อยอินสแตนซ์ของ Snowflake โดยใช้ข้อมูลลูกค้าที่ถูกขโมยผ่านมัลแวร์ที่ติดตั้งในระบบที่ไม่ได้เป็นของ Snowflake
AT&T กล่าวว่าไม่เชื่อว่าข้อมูลที่ถูกขโมยในขณะนี้จะมีอยู่ในสาธารณะ และมีคนหนึ่งถูกจับกุมแล้ว
Ticketmaster, Santander Bank, Anheuser-Busch, Allstate, Advance Auto Parts, Mitsubishi, Neiman Marcus, Progressive และ State Farm ถูกระบุว่าเป็นเหยื่อที่อาจเกิดขึ้นในแคมเปญโจมตีของ Snowflake
