El proveedor estadounidense de servicios de telecomunicaciones AT&T ha confirmado que actores maliciosos han logrado acceder a datos pertenecientes a «casi todos» de sus clientes inalámbricos, así como a clientes de operadores de redes virtuales móviles (MVNO) que utilizan la red inalámbrica de la compañía.
“Los actores maliciosos accedieron ilegalmente a un espacio de trabajo de AT&T en una plataforma en la nube de terceros y, entre el 14 y el 25 de abril de 2024, extrajeron archivos que contenían grabaciones de AT&T de interacciones telefónicas y de texto con clientes que ocurrieron entre el 1 de abril de 2024, mayo y aproximadamente el 31 de octubre. 2022, así como el 2 de enero de 2023”, dijo. dicho.
Esto incluye los números de teléfono con los que ha interactuado un número inalámbrico de AT&T o MVNO, incluidos los números de teléfono de clientes de líneas fijas de AT&T y clientes de otros proveedores, la cantidad de esas interacciones y la duración general de la llamada durante un día o un mes.
Un subconjunto de estos registros también contenía uno o más números de identificación del sitio celularlo que potencialmente permitiría a los delincuentes triangular la ubicación aproximada de un cliente cuando se realizó una llamada o se envió un mensaje de texto. AT&T dijo que alertaría a clientes actuales y anteriores si su información estuviera involucrada.
«Los piratas informáticos utilizaron datos de compromisos anteriores para relacionar números de teléfono con identidades», dijo Jake Williams, ex pirata informático de la NSA y profesor de IANS Research. « Ce que les pirates informatiques ont volé ici, ce sont en fait des enregistrements de données d’appel (CDR), qui sont une mine d’or pour l’analyse du renseignement, car ils peuvent être utilisés pour comprendre qui parle à qui – y cuando. »
La lista de MVNO de AT&T incluye Black Wireless, Boost Infinite, Consumer Cellular, Cricket Wireless, FreedomPop, FreeUp Mobile, Good2Go, H2O Wireless, PureTalk, Red Pocket, Straight Talk Wireless, TracFone Wireless, Unreal Mobile y Wing.
AT&T no reveló el nombre del proveedor de nube externo, pero Snowflake ha confirmado desde entonces que la infracción estaba relacionada con el hack que afectó a otros clientes, como Ticketmaster, Santander, Neiman Marcus y LendingTree, según Bloomberg.
La compañía dijo que tuvo conocimiento del incidente el 19 de abril de 2024 e inmediatamente activó sus esfuerzos de respuesta. Señaló además que estaba trabajando con las autoridades en sus esfuerzos por arrestar a los involucrados y que «al menos una persona ha sido detenida».
404 Medios reportado que un ciudadano estadounidense de 24 años llamado John Binns, quien previamente detenido En Turquía, en mayo de 2024, se relaciona con el incidente de seguridad, citando tres fuentes anónimas. También fue acusado en Estados Unidos de infiltrarse en T-Mobile en 2021 y vender los datos de sus clientes.
Sin embargo, destacó que la información a la que se accede no incluye el contenido de llamadas o mensajes de texto, información personal como números de seguro social, fechas de nacimiento u otra información de identificación personal.
“Aunque los datos no incluyen los nombres de los clientes, a menudo hay maneras, utilizando herramientas en línea disponibles públicamente, de encontrar el nombre asociado con un número de teléfono específico”, afirma. dicho en un Formulario 8-K presentado ante la Comisión de Bolsa y Valores de los Estados Unidos (SEC).
La compañía también insta a los usuarios a tener cuidado con el phishing, el smishing y el fraude en línea abriendo únicamente mensajes de texto de remitentes confiables. Además, los clientes pueden enviar una solicitud para obtener los números de teléfono de sus llamadas y SMS en los datos descargados ilegalmente.
La campaña maliciosa dirigida a Snowflake ha puesto en la mira hasta 165 clientes, y Mandiant, propiedad de Google, atribuye la actividad a un actor de amenazas con motivación financiera denominado UNC5537, que incluye «miembros con sede en América del Norte y colabora con un miembro adicional en Pavo.
Los criminales tienen requerido Pagos que van desde 300.000 dólares hasta 5 millones de dólares a cambio de los datos robados. Los últimos acontecimientos muestran que las consecuencias de la ola de delitos cibernéticos se están extendiendo y teniendo un efecto en cascada.
CABLE reveló El mes pasado, supimos cómo los piratas informáticos detrás de los robos de datos de Snowflake obtuvieron credenciales de Snowflake robadas de servicios web oscuros que venden acceso a nombres de usuario, contraseñas y tokens de autenticación capturados mediante el robo de malware. Esto incluyó obtener acceso a través de un contratista externo llamado EPAM Systems.
Por su parte, Snowflake esta semana anuncio Los administradores ahora pueden aplicar la autenticación multifactor (MFA) obligatoria para todos los usuarios para reducir el riesgo de apropiación de cuentas. La compañía también dijo que pronto requerirá autenticación multifactor para todos los usuarios de cuentas Snowflake recién creadas.
