AT&T heeft bekend gemaakt de eigen cloud is gehackt, daarmee is data van alle eigen klanten en de MVNO klanten gelekt. Wat er precies is gelekt, daarover is het bedrijf onduidelijk.
Het pers bericht van AT&T is zoals zo vaak meer een document om zich juridisch in te dekken dan een goede uitleg.
“In april kwam AT&T erachter dat klantgegevens illegaal waren gedownload van onze werkruimte op een cloudplatform van een derde partij. We stelden een onderzoek in en namen vooraanstaande cyberbeveiligingsexperts in de arm om de aard en omvang van de criminele activiteit te begrijpen. We hebben stappen ondernomen om het illegale toegangspunt af te sluiten. We werken samen met de wetshandhavingsinstanties in hun pogingen om de betrokkenen bij het incident te arresteren. We hebben begrepen dat ten minste één persoon is aangehouden.”
April, dat is dit voorjaar terwijl de data betrekking heeft op 2022 en 2023. Dat roept al vragen op.
“Op basis van ons onderzoek bevatten de gecompromitteerde gegevens bestanden met AT&T-gegevens over gesprekken en sms-berichten van bijna alle mobiele klanten van AT&T, klanten van mobiele virtuele netwerkoperators (MVNO’s) die gebruikmaken van het draadloze netwerk van AT&T, evenals vaste klanten van AT&T die tussen 1 mei 2022 en 31 oktober 2022 contact hadden met deze mobiele nummers.”
Wat voor gegevens?
Dat klinkt als de complete logging van al het verkeer, waarbij “gegevens over gesprekken” nog kan betekenen dat ook de inhoud van die berichten was opgeslagen en daarna gelekt. En passant meldt AT&T ook dat “van een kleine groep klanten” meer gegevens zijn gelet. “Hoewel de gegevens geen klantnamen bevatten, zijn er vaak manieren, met behulp van openbaar beschikbare online tools, om de naam te vinden die bij een specifiek telefoonnummer hoort.”
Snowflake
Volgens Statista heeft AT&T ruim 240 miljoen klanten. Het cloudplatform dat is gehackt maakt gebruik van Snowflake. Na de bank Santander en Ticketmaster is dit het volgende grote slachtoffer.
Update:
Brian Krebs, toch niet de minste in de cybersecurity community vraagt zich hardop af of niet de database is gehackt die alle MNO’s beschikbaar moeten stellen aan de politie. Dat zou namelijk verklaren waarom AT&T niet eerder naar buiten is gekomen met het lek. De telco schrijft daar over dat dit in overleg met de politie is gebeurd.