Oczywiste jest, że najważniejszym tematem w Stanach Zjednoczonych są wiadomości związane z rywalizacją o Biały Dom. Niemniej prasa i portale branżowe żyją również włamaniem do AT&T. Właśnie powiązano je z działalnością amerykańskiego hakera mieszkającego w Turcji i spekuluje się, że gigant telekomunikacyjny zapłacił znaczny okup, aby mieć gwarancję usunięcia skradzionych informacji.
W zeszły piątek AT&T ujawniła, że nastąpiło naruszenie bezpieczeństwa danych, które dotknęło prawie wszystkich jej klientów korzystających z usług bezprzewodowych. Firma podała, że w kwietniu hakerzy wydobyli zapisy rozmów telefonicznych i SMS-ów z klientami telecomu z okresu od 1 maja 2022 r. do 31 października 2022 r., a także z 2 stycznia 2023 r. Dane pochodziły z „obszaru roboczego” AT&T w chmurze innej firmy.
Telecom wyjaśnił, że skompromitowane dane zawierają numery telefonów, z którymi klienci mieli kontakt, w tym liczbę połączeń i SMS-ów oraz czas trwania połączeń. Dane z włamania nie obejmują treści połączeń i SMS-ów, znaczników czasu ani innych wrażliwych danych osobowych.
„Chociaż dane nie obejmują imion i nazwisk klientów, często można znaleźć imię i nazwisko powiązane z numerem telefonu online za pomocą publicznie dostępnych narzędzi” – stwierdziła AT&T.
Gigant telekomunikacyjny podkreślił też brak wiedzy na temat tego, czy skradzione dane są publicznie dostępne i przekazał, że otrzymał informację, iż „zatrzymano co najmniej jedną osobę”. AT&T powiadomiło o incydencie około 110 milionów klientów.
Więcej informacji na temat hakowania AT&T pojawiło się w weekend. Wired poinformował, że w maju AT&T zapłaciło hakerowi około 370 000 dolarów w bitcoinach, aby zapobiec wyciekowi danych. Haker, o którym mowa, to członek osławionej grupy ShinyHunters. Przedstawił on dowód transakcji, który został również potwierdzony dla Wired przez inne osoby na podstawie zapisów transferów kryptowalut.
Haker podobno zażądał od AT&T okupu w wysokości 1 miliona dolarów, ale ostatecznie zgodził się na znacznie niższą kwotę. Udostępnił AT&T film, na którym widać, że usunął skradzione dane.
Wygląda na to, że dane klientów AT&T pochodzą z platformy przechowywania danych Snowflake. Setki instancji Snowflake, w tym należące do dużych firm, takich jak Ticketmaster, Santander Bank, Advance Auto Parts i Neiman Marcus, zostały niedawno naruszone w wyniku wykorzystania skradzionych danych uwierzytelniających klientów. Mówi się, że grupa ShinyHunters jest zamieszana w atak Snowflake.
Jednak z informacji uzyskanych przez Wired wynika, że w atak hakerski na AT&T zamieszany jest także amerykański haker mieszkający od kilku lat w Turcji, John Binns. W 2021 roku nazwisko Binnsa pojawiło się w prasie po tym, jak przypisał sobie włamanie do T-Mobile. Rok później usłyszał zarzuty.
Według doniesień Binns został aresztowany w Turcji w maju 2024 r. w związku z włamaniem do sieci T-Mobile i być może dlatego AT&T w swoim publicznym oświadczeniu wspomniało o zatrzymaniu jednej osoby.
404 Media dowiedziało się również z wielu źródeł, że Binns jest powiązany z hakiem AT&T.
Badacz posługujący się internetowym pseudonimem Reddington powiedział Wired, że w kwietniu skontaktował się z nim Binns, który twierdził, że uzyskał rejestry połączeń milionów klientów AT&T od Snowflake.
Reddington został poproszony o ułatwienie „wykupu danych” od AT&T i utrzymywał, że prowadził także negocjacje między hakerami a innymi ofiarami ataku hakerskiego na Snowflake.
Według doniesień AT&T miała wysłać Binnsowi okup w wysokości 370 000 dolarów, ale ostatecznie wysłała go członkowi ShinyHunters z powodu aresztowania Binnsa w Turcji. Według Reddingtona Binns i inny haker ShinyHunters przechowywali pełną bazę danych AT&T na serwerze w chmurze, skąd została ona usunięta po zapłaceniu przez firmę okupu. Mogli jednak wysłać próbki danych do wielu osób, zanim zostały usunięte.