Włamanie do AT&T – szczegóły i spekulacje

W zeszły piątek AT&T ujawniła, że nastąpiło naruszenie bezpieczeństwa danych, które dotknęło prawie wszystkich jej klientów korzystających z usług bezprzewodowych. Firma podała, że w kwietniu hakerzy wydobyli zapisy rozmów telefonicznych i SMS-ów z klientami telecomu z okresu od 1 maja 2022 r. do 31 października 2022 r., a także z 2 stycznia 2023 r. Dane pochodziły z „obszaru roboczego” AT&T w chmurze innej firmy.

Telecom wyjaśnił, że skompromitowane dane zawierają numery telefonów, z którymi klienci mieli kontakt, w tym liczbę połączeń i SMS-ów oraz czas trwania połączeń. Dane z włamania nie obejmują treści połączeń i SMS-ów, znaczników czasu ani innych wrażliwych danych osobowych.

„Chociaż dane nie obejmują imion i nazwisk klientów, często można znaleźć imię i nazwisko powiązane z numerem telefonu online za pomocą publicznie dostępnych narzędzi” – stwierdziła AT&T.

Gigant telekomunikacyjny podkreślił też brak wiedzy na temat tego, czy skradzione dane są publicznie dostępne i przekazał, że otrzymał informację, iż „zatrzymano co najmniej jedną osobę”. AT&T powiadomiło o incydencie około 110 milionów klientów.

Więcej informacji na temat hakowania AT&T pojawiło się w weekend. Wired poinformował, że w maju AT&T zapłaciło hakerowi około 370 000 dolarów w bitcoinach, aby zapobiec wyciekowi danych. Haker, o którym mowa, to członek osławionej grupy ShinyHunters. Przedstawił on dowód transakcji, który został również potwierdzony dla Wired przez inne osoby na podstawie zapisów transferów kryptowalut.

Haker podobno zażądał od AT&T okupu w wysokości 1 miliona dolarów, ale ostatecznie zgodził się na znacznie niższą kwotę. Udostępnił AT&T film, na którym widać, że usunął skradzione dane.

Wygląda na to, że dane klientów AT&T pochodzą z platformy przechowywania danych Snowflake. Setki instancji Snowflake, w tym należące do dużych firm, takich jak Ticketmaster, Santander Bank, Advance Auto Parts i Neiman Marcus, zostały niedawno naruszone w wyniku wykorzystania skradzionych danych uwierzytelniających klientów. Mówi się, że grupa ShinyHunters jest zamieszana w atak Snowflake.

Jednak z informacji uzyskanych przez Wired wynika, że w atak hakerski na AT&T zamieszany jest także amerykański haker mieszkający od kilku lat w Turcji, John Binns. W 2021 roku nazwisko Binnsa pojawiło się w prasie po tym, jak przypisał sobie włamanie do T-Mobile. Rok później usłyszał zarzuty.

Według doniesień Binns został aresztowany w Turcji w maju 2024 r. w związku z włamaniem do sieci T-Mobile i być może dlatego AT&T w swoim publicznym oświadczeniu wspomniało o zatrzymaniu jednej osoby.

404 Media dowiedziało się również z wielu źródeł, że Binns jest powiązany z hakiem AT&T.

Badacz posługujący się internetowym pseudonimem Reddington powiedział Wired, że w kwietniu skontaktował się z nim Binns, który twierdził, że uzyskał rejestry połączeń milionów klientów AT&T od Snowflake.

Reddington został poproszony o ułatwienie „wykupu danych” od AT&T i utrzymywał, że prowadził także negocjacje między hakerami a innymi ofiarami ataku hakerskiego na Snowflake.

Według doniesień AT&T miała wysłać Binnsowi okup w wysokości 370 000 dolarów, ale ostatecznie wysłała go członkowi ShinyHunters z powodu aresztowania Binnsa w Turcji. Według Reddingtona Binns i inny haker ShinyHunters przechowywali pełną bazę danych AT&T na serwerze w chmurze, skąd została ona usunięta po zapłaceniu przez firmę okupu. Mogli jednak wysłać próbki danych do wielu osób, zanim zostały usunięte.