前情回顾·电信业网络安全态势
安全内参7月15日消息,美国电信巨头美国电话电报公司(AT&T)上周五披露,将向数百万消费者通知发生了一起新的数据泄露事件。该公司一位发言人表示,该事件使网络犯罪分子窃取了“几乎所有”客户的电话记录。
AT&T在一份声明中表示,被盗数据包含从2022年5月1日至2022年10月31日期间移动和固定电话客户的电话号码,以及AT&T网络内的通话和短信记录,例如谁通过电话或短信联系了谁。
AT&T表示,被盗数据还包括2023年1月2日以后的小部分客户的较新记录,以及使用AT&T网络的其他手机运营商客户的通话记录,但均未具体说明数量。
AT&T表示,被盗数据虽然“不包含通话或短信的内容”,但包括在前述六个月期间内具体AT&T电话号码的通话和短信记录,以及客户通话和短信的总数和通话时长——这些信息通常被称为元数据。AT&T称,被盗数据不包括通话或短信的时间或日期。
一些被盗记录包括与电话和短信相关的基站识别号码,这些信息可以用来确定通话或短信发起人的大致位置。
这家电信巨头的发言人Andrea Huguely表示,总共将通知约1.1亿AT&T客户有关数据泄露事件的情况。
AT&T发布了一个网站,向客户提供有关数据事件的信息。AT&T还在上周五股市开盘前向监管机构提交文件披露了数据泄露事件。
数据泄露与Snowflake有关
AT&T表示,其在4月19日得知了这次数据泄露事件,发现其与3月的一起安全事件无关。
发言人Andrea Huguely表示,此次客户记录的泄露是从云数据巨头Snowflake中被盗的。Snowflake客户近期遭遇了大量数据盗窃事件。
Snowflake允许科技公司和电信公司等企业客户分析大量储存在云端的客户数据。目前,尚不清楚AT&T出于何种原因将客户数据存储在Snowflake中,发言人也没有透露缘由。
最近几周,多家公司确认其存储在Snowflake的数据被盗,AT&T是最新报告数据泄露的公司。此前,票务巨头Ticketmaster和网贷平台LendingTree的子公司QuoteWizard等也遭遇了类似的情况。
Snowflake将数据盗窃归咎于其客户没有使用多因素身份验证来保护Snowflake账号,但是这家云数据巨头并没有强制或建议客户启用这项安全功能。
Snowflake邀请网络安全事件响应公司Mandiant帮助通知客户,后者表示约有165个Snowflake客户的“大量数据”从其客户账户中被盗。
Mandiant将此次数据泄露归因于一个尚未分类的网络犯罪团伙,追踪编号为UNC5537。Mandiant的研究人员称,这些黑客主要出于经济动机,大部分位于北美,至少有一人在土耳其。
其他一些企业在Snowflake账号被盗后,数据被发布在已知的网络犯罪论坛上。AT&T认为,目前尚未发现被盗数据在公开市场上流通。
AT&T声明,公司正与执法部门合作逮捕涉及泄露事件的网络犯罪分子。AT&T表示“至少有一人已被逮捕”。AT&T的发言人表示,已被逮捕的人不是AT&T员工。当被问及犯罪分子的具体信息,发言人建议直接询问联邦调查局。
上周五,FBI发言人向TechCrunch确认,在AT&T联系该局报告泄露事件后,AT&T、FBI和司法部同意因“对国家安全和/或公共安全的潜在风险”两次推迟通知公众和客户。
FBI发言人说:“AT&T、FBI和司法部在第一次和第二次推迟过程中密切合作,同时共享关键威胁情报,以加强FBI的调查能力,并协助AT&T的事件响应工作,”
FBI没有对涉嫌网络犯罪分子被捕的情况发表评论。
这是AT&T今年披露的第二次安全事件。在此前的事件中,由于客户账户信息缓存数据(包括访问AT&T客户账户的加密密码)被发布在一个网络犯罪论坛上,AT&T被迫重置了数百万客户的账户密码。一名安全研究人员当时告诉TechCrunch,这些加密密码很容易被解密,促使AT&T采取预防措施来保护客户账户。
参考资料:https://techcrunch.com/2024/07/12/att-phone-records-stolen-data-breach/
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。