แฮกเกอร์ขโมยบันทึกการโทรและ SMS ของลูกค้า AT&T เกือบทั้งหมด
(krebsonsecurity.com)- บันทึกการโต้ตอบการโทรและข้อความของลูกค้า AT&T เกือบทั้งหมดราว 110 ล้านราย รั่วไหล เป็นเหตุการณ์ที่แม้ไม่มีเนื้อหาข้อความก็ยังอาจใช้อนุมานความสัมพันธ์ในการติดต่อและตำแหน่งบางส่วนได้
- ผู้บุกรุกเข้าถึง workspace ของ AT&T บน คลาวด์แพลตฟอร์ม ของบุคคลที่สามในเดือนเมษายน 2024 และดาวน์โหลดไฟล์บันทึกของช่วงวันที่ 1 พฤษภาคม 2022 ถึง 31 ตุลาคม 2022 และวันที่ 2 มกราคม 2023
- ข้อมูลที่รั่วไหลไม่รวม เนื้อหาการโทร, Social Security number, วันเกิด และข้อมูลระบุตัวตนส่วนบุคคลอื่น ๆ แต่มีหมายเลขโทรศัพท์และข้อมูลตำแหน่งของเสาสัญญาณบางส่วนรวมอยู่ด้วย
- AT&T ชะลอการเปิดเผยโดยอ้างคำขอจากหน่วยงานสืบสวนของรัฐบาลกลางและความกังวลด้าน ความมั่นคงแห่งชาติ·ความปลอดภัยสาธารณะ โดย FBI ยืนยันว่ามีการหารือเรื่องการเลื่อนเปิดเผยตาม SEC Rule Item 1.05(c)
- เหตุการณ์นี้เชื่อมโยงกับการละเมิดที่เกี่ยวข้องกับ Snowflake และแนวปฏิบัติที่ปกป้องข้อมูลลูกค้าจำนวนมากด้วยเพียงชื่อผู้ใช้และรหัสผ่าน รวมถึงการ ไม่มีการยืนยันตัวตนหลายปัจจัย ยังคงเป็นความเสี่ยงหลัก
ข้อมูลรั่วไหลของ AT&T ที่กระทบลูกค้าเกือบทั้งหมด
- AT&T Corp. เปิดเผยว่าเหตุข้อมูลรั่วไหลครั้งใหม่ทำให้บันทึกการโทรและข้อความของลูกค้าราว 110 ล้านราย ถูกเปิดเผย
- ขอบเขตความเสียหายครอบคลุมลูกค้า AT&T เกือบทั้งหมด และยังรวมบันทึกการโทร·ข้อความของ ผู้ให้บริการมือถือ ที่นำบริการของ AT&T ไปขายต่อด้วย
- บางบันทึกมีข้อมูลที่อาจใช้ระบุตำแหน่งที่มีการโทรหรือส่งข้อความได้
ข้อมูลที่รั่วไหลและข้อมูลที่ไม่ได้รั่วไหล
- ผู้บุกรุกเข้าถึง AT&T workspace บนคลาวด์แพลตฟอร์มของบุคคลที่สามในเดือนเมษายน 2024
- ไฟล์ที่ถูกดาวน์โหลดมีบันทึกการโต้ตอบการโทร·ข้อความของลูกค้าในช่วงต่อไปนี้
- 1 พฤษภาคม 2022 ถึง 31 ตุลาคม 2022
- 2 มกราคม 2023
- รายการที่ไม่รวมอยู่ในข้อมูลที่รั่วไหลมีดังนี้
- เนื้อหาการโทร
- เนื้อหาข้อความ
- Social Security number
- วันเกิด
- ข้อมูลระบุตัวตนส่วนบุคคลอื่น ๆ
- บางบันทึกมีข้อมูลตำแหน่งของ สถานีฐานเครือข่ายเซลลูลาร์ ที่ใกล้ผู้สมัครใช้บริการมากที่สุด
- ข้อมูลนี้อาจใช้ระบุตำแหน่งโดยประมาณของอุปกรณ์ลูกค้าที่ส่งข้อความหรือโทรออกและรับสายได้
- แม้ข้อมูลจะไม่มีชื่อลูกค้า แต่ AT&T ยอมรับว่ามักมีวิธีค้นหาชื่อที่เชื่อมโยงกับหมายเลขโทรศัพท์บางหมายเลขได้ผ่านเครื่องมือออนไลน์สาธารณะ
การชะลอการเปิดเผยและความคืบหน้าการสืบสวน
- AT&T ทราบเหตุการละเมิดเมื่อวันที่ 19 เมษายน 2024 แต่เลื่อนการเปิดเผยตามคำขอของหน่วยงานสืบสวนของรัฐบาลกลาง
- ตาม เอกสารยื่นต่อ SEC ของ AT&T มีผู้ถูกทางการควบคุมตัวอย่างน้อย 1 รายที่เกี่ยวข้องกับการละเมิดครั้งนี้
- FBI ยืนยันว่าได้ขอให้ AT&T ชะลอการแจ้งลูกค้าที่ได้รับผลกระทบ
- หลัง AT&T ยืนยันการละเมิดข้อมูลลูกค้าที่อาจเกิดขึ้น บริษัทได้รายงานเหตุไปยัง FBI ทันที และ AT&T·FBI·DOJ ได้หารือถึงความเป็นไปได้ในการเลื่อนการเปิดเผยตาม SEC Rule Item 1.05(c)
- เหตุผลของการเลื่อนคือความเสี่ยงที่อาจกระทบต่อ ความมั่นคงแห่งชาติ และความปลอดภัยสาธารณะ
การละเมิดที่เกี่ยวข้องกับ Snowflake และการไม่มี MFA
- ตามโฆษกของ AT&T ที่ TechCrunch อ้างถึง การขโมยข้อมูลลูกค้าครั้งนี้เป็นผลจากเหตุข้อมูลรั่วไหลที่กำลังดำเนินอยู่ซึ่งเกี่ยวข้องกับลูกค้ามากกว่า 160 รายของผู้ให้บริการข้อมูลคลาวด์ Snowflake
- ผู้โจมตีพบว่าบริษัทขนาดใหญ่หลายแห่งนำข้อมูลลูกค้าที่อ่อนไหวจำนวนมากไปเก็บไว้บนเซิร์ฟเวอร์ Snowflake และปกป้องบัญชีด้วยเพียงชื่อผู้ใช้และรหัสผ่าน
- ตามรายงานของ Wired แฮกเกอร์ที่อยู่เบื้องหลังการขโมยข้อมูลจาก Snowflake ได้ซื้อข้อมูลรับรอง Snowflake ที่ถูกขโมยมาจากบริการในดาร์กเว็บ
- ข้อมูลรับรองดังกล่าวรวมถึงชื่อผู้ใช้ รหัสผ่าน และโทเคนยืนยันตัวตนที่ถูกมัลแวร์ขโมยข้อมูลดึงออกไป
- ปัจจุบัน Snowflake กำหนดให้ลูกค้าใหม่ทุกรายต้องใช้ การยืนยันตัวตนหลายปัจจัย
- ฐานข้อมูลคลาวด์ที่ทำให้บันทึกลูกค้า AT&T รั่วไหลก็ถูกปกป้องด้วยเพียงชื่อผู้ใช้และรหัสผ่าน และไม่ได้บังคับใช้การยืนยันตัวตนหลายปัจจัย
บริษัทอื่นที่ได้รับผลกระทบจาก Snowflake และการละเมิดก่อนหน้าของ AT&T
- บริษัทอื่นที่มีบันทึกลูกค้าหลายล้านรายการถูกขโมยจากเซิร์ฟเวอร์ Snowflake ได้แก่
- Advance Auto Parts
- Allstate
- Anheuser-Busch
- Los Angeles Unified
- Mitsubishi
- Neiman Marcus
- Pure Storage
- Santander Bank
- State Farm
- Ticketmaster
- เมื่อต้นปีนี้ AT&T รีเซ็ตรหัสผ่านของลูกค้าหลายล้านราย หลังยอมรับเหตุข้อมูลรั่วไหลในปี 2018 ที่เกี่ยวข้องกับผู้ถือบัญชีปัจจุบันราว 7.6 ล้านราย และผู้ถือบัญชีเดิมราว 65.4 ล้านราย
- ข้อมูลที่รั่วไหลของ Advance Auto Parts มีชื่อ-นามสกุลเต็ม, Social Security number, ใบขับขี่ และหมายเลขบัตรประจำตัวที่ออกโดยหน่วยงานรัฐ ของพนักงานปัจจุบัน·อดีตพนักงานหรือผู้สมัครงาน 2.3 ล้านราย
ความเสี่ยงที่ทิ้งไว้โดยเมทาดาทาการโทร·ข้อความ
- Mark Burnett สถาปนิกด้านความปลอดภัยของแอปพลิเคชัน มองว่าประโยชน์ใช้งานจริงของข้อมูลที่ถูกขโมยในการละเมิด AT&T ครั้งนี้คือการรู้ว่าใครติดต่อใครบ่อยแค่ไหน
- Burnett กังวลมากที่สุดที่ข้อมูลรั่วไหลครั้งนี้ไม่ใช่ฐานข้อมูลหลักของ AT&T แต่เป็น เมทาดาทา ว่า “ใครติดต่อใคร”
- แม้บันทึกการโทรจะไม่มี timestamp หรือชื่อ ก็ยังคงมีคำถามว่าบันทึกเหล่านี้ถูกใช้ไปเพื่อวัตถุประสงค์ใด
ความรับผิดขององค์กรและผลกระทบทางการเงิน
- แนวปฏิบัติที่องค์กรขนาดใหญ่ยังคงเก็บข้อมูลลูกค้าที่อ่อนไหวไว้ด้วยการป้องกันด้านความปลอดภัยเพียงเล็กน้อย ยังคงเป็นปัญหาที่ไม่ชัดเจน
- นอกจากกรณีที่มีการฟ้องร้องแบบกลุ่มตามมาหลังเหตุข้อมูลรั่วไหลแล้ว ก็ยังมีกลไกไม่มากนักในการเอาผิดบริษัทจากแนวปฏิบัติด้านความปลอดภัยที่หละหลวม
- AT&T แจ้งต่อ SEC ว่าเหตุการณ์นี้ไม่น่าจะส่งผลกระทบอย่างมีนัยสำคัญต่อฐานะการเงินหรือผลการดำเนินงานของบริษัท
- รายได้ไตรมาสล่าสุดของ AT&T สูงกว่า 3 หมื่นล้านดอลลาร์
1 ความคิดเห็น
ความคิดเห็นจาก Hacker News
ความคิดเห็นถูกย้ายไปที่ https://news.ycombinator.com/item?id=40944505
ลิงก์การสนทนาที่เกี่ยวข้อง:
(272 คะแนน, 7 ชั่วโมงก่อน, 210 ความคิดเห็น) https://news.ycombinator.com/item?id=40944505
(76 คะแนน, 6 ชั่วโมงก่อน, 31 ความคิดเห็น) https://news.ycombinator.com/item?id=40944839
เป็นโพสต์ซ้ำ และมีการสนทนาเพิ่มเติมที่ https://news.ycombinator.com/item?id=40944505