1 points par GN⁺ 2024-07-13 | 1 commentaires | Partager sur WhatsApp
  • La nouvelle fuite de données d’AT&T a touché les relevés de relations d’appels et de SMS de presque tous les clients, et une notification sera envoyée à environ 110 millions de personnes
  • Les données volées portent principalement sur les métadonnées d’appels et de SMS du 1er mai 2022 au 31 octobre 2022, et pour certains clients, des relevés du 2 janvier 2023 sont également inclus
  • Le contenu des messages ainsi que les dates et heures exactes n’y figurent pas, mais les données exposent qui a contacté qui, ainsi que le volume et la durée des appels, et certains identifiants de sites cellulaires
  • Cet incident est distinct de l’incident de sécurité d’AT&T survenu en mars et est lié à la récente vague de vols de données visant des comptes clients Snowflake
  • L’absence d’utilisation de l’authentification multifacteur pour protéger des comptes Snowflake est devenue un point central, et Mandiant a confirmé d’importants vols de données sur environ 165 comptes clients

Étendue des relevés téléphoniques divulgués chez AT&T

  • AT&T prévoit de notifier environ 110 millions de personnes à la suite de cet incident
  • Les données volées incluent les numéros de téléphone et les relevés d’appels et de SMS des clients mobiles et fixes d’AT&T
    • La période concernée couvre six mois, du 1er mai 2022 au 31 octobre 2022
    • Pour certains clients, des relevés plus récents du 2 janvier 2023 sont également inclus, mais le nombre de clients concernés n’a pas été communiqué
  • Les relevés d’appels de clients d’autres opérateurs utilisant le réseau d’AT&T figurent aussi dans les données compromises
  • Les données divulguées ne contiennent ni le contenu des appels ni celui des messages
    • Il est possible d’identifier avec quels numéros un numéro AT&T donné a passé des appels ou échangé des SMS
    • Le total des appels et des SMS d’un client ainsi que la durée des appels sont inclus
    • Les dates et heures des appels et des messages ne sont pas incluses
  • Certains relevés comprennent des identifiants de sites cellulaires associés aux appels téléphoniques ou aux SMS
    • Ces informations permettent d’estimer la zone approximative depuis laquelle un appel a été passé ou un message envoyé
  • AT&T a révélé l’incident via une page d’information destinée aux clients et un document déposé auprès des autorités de régulation

Vol de comptes Snowflake et état de l’enquête

  • AT&T indique avoir pris connaissance de cette fuite de données le 19 avril et affirme qu’elle n’est pas liée au précédent incident de sécurité rendu public en mars
  • Il a été confirmé que les relevés clients les plus récents ont été volés depuis Snowflake dans le cadre de la récente vague de vols de données visant des clients Snowflake
    • Snowflake est un service permettant aux entreprises d’analyser dans le cloud de grands volumes de données clients
    • La raison pour laquelle AT&T stockait des données clients dans Snowflake n’a pas été rendue publique
  • Ces dernières semaines, Ticketmaster et QuoteWizard, filiale de LendingTree, ont eux aussi confirmé que des données avaient été volées depuis Snowflake
  • Snowflake estime que la responsabilité du vol de données incombe aux clients qui n’utilisaient pas l’authentification multifacteur pour protéger leurs comptes
    • Snowflake n’imposait toutefois pas cette fonction de sécurité à ses clients et ne la rendait pas obligatoire
    • Mandiant, sollicité par Snowflake pour aider aux notifications clients, a confirmé qu’une quantité importante de données avait été volée sur environ 165 comptes clients Snowflake
  • Mandiant attribue cette intrusion à un groupe cybercriminel encore non classé, suivi sous le nom UNC5537
    • Les pirates sont considérés comme motivés par l’argent
    • Les membres se trouvent en Amérique du Nord, et au moins l’un d’eux est en Turquie
  • Une partie des données de certaines entreprises victimes du vol de comptes Snowflake a été publiée sur des forums cybercriminels connus, mais AT&T estime que ses propres données ne sont pas actuellement accessibles publiquement
  • AT&T affirme coopérer avec les forces de l’ordre pour faire arrêter les cybercriminels impliqués, et au moins une personne a été arrêtée
    • La personne arrêtée n’est pas un employé d’AT&T
    • Le FBI n’a pas commenté cette arrestation
  • Le FBI a confirmé qu’après le signalement de la compromission par AT&T, AT&T, le FBI et le ministère de la Justice ont convenu à deux reprises de retarder l’information des clients et du public
    • La raison invoquée était un risque potentiel pour la sécurité nationale et la sécurité publique
    • Pendant la procédure de report, les trois parties ont partagé des renseignements sur la menace afin de soutenir l’enquête du FBI et la réponse à incident d’AT&T
  • Cet incident est le deuxième incident de sécurité rendu public par AT&T cette année
    • Auparavant, après la publication sur un forum cybercriminel d’un cache de données de comptes clients, AT&T avait dû réinitialiser les mots de passe de compte de millions de clients
    • Ce cache contenait des codes d’accès chiffrés permettant d’accéder à des comptes clients AT&T, et des chercheurs en sécurité estimaient qu’ils pouvaient être déchiffrés facilement

1 commentaires

 
GN⁺ 2024-07-13
Avis sur Hacker News
  • AT&T compte 110 millions de clients ; si, à cause de cette intrusion, chacun passe seulement une minute de plus à gérer son compte, cela représente au total plus de 209 ans de temps perdu
    Les lois sur les fuites de données devraient être bien plus strictes. S’il n’y a quasiment aucune conséquence réelle en cas de fuite, les entreprises n’investiront que le minimum dans la sécurité des données
    Il faudrait soit percer le voile de la personnalité morale et poursuivre pénalement les personnes dont la négligence a rendu cela possible, soit infliger des amendes suffisamment lourdes pour que la direction et les actionnaires en ressentent réellement l’impact

    • Je suis surpris que personne ne souligne qu’une entreprise comme AT&T ne collecte pas ces données pour le plaisir. Cela coûte cher, mais l’État l’exige légalement
      Tout le monde blâme l’entreprise, mais personne ne semble se demander s’il est normal que le gouvernement dispose de l’historique complet de toutes mes communications. Autrefois, on aurait appelé cela un État de surveillance dystopique
    • Pour vraiment corriger quelque chose, il n’y a pas d’autre solution que de toucher les actionnaires. Tant que des riches n’auront pas perdu de l’argent au point que les dirigeants de niveau C et le conseil d’administration doivent rendre des comptes, ils continueront à se congratuler et à empocher leurs bonus
    • La personne responsable de « la négligence qui a rendu cela possible » est probablement un employé opérationnel ordinaire. Faites attention à ce que vous souhaitez
      Je n’ai pas envie d’être tenu légalement responsable si mon logiciel est compromis à cause d’une vulnérabilité que j’ignorais
      Une première étape raisonnable pourrait être de créer des normes, audits et certifications tiers en matière de sécurité des données, afin que les consommateurs attachés à la confidentialité et à la sécurité sachent ce que font les entreprises. Si les consommateurs y voient de la valeur, ils privilégieront ces entreprises, et les autres pourraient suivre
    • La loi qui aurait permis d’éviter ce genre de fuite serait une loi rendant illégal le fait, pour les opérateurs télécoms, de vendre les données des clients. La raison pour laquelle AT&T a mis toutes ces données dans Snowflake était de vendre aux marketeurs la localisation de ses clients et leurs graphes sociaux
      Je n’arrive pas à comprendre que ce ne soit pas déjà illégal
    • Imaginez un monde où, après une fuite de données, une entreprise ne pourrait plus, pendant 10 ans, ni collecter, ni même conserver ou vendre ce type de données, et où cette règle primerait sur les lois imposant la collecte de données
      AT&T deviendrait presque, du jour au lendemain, un service chiffré de bout en bout
      La ligne elle-même ne serait pas chiffrée, donc la NSA pourrait toujours écouter, mais au moins les datacenters d’AT&T pourraient ne plus avoir aucun stockage modifiable, à l’exception des disques de démarrage, des files de messages SMS et de la correspondance entre SIM autorisées et numéros de téléphone
      Je ne comprends pas pourquoi on continue aujourd’hui à conserver les journaux d’appels. Ils ne sont même plus nécessaires à leur objectif initial, la facturation
  • S’il s’agit d’une « fuite de données toujours en cours impliquant plus de 160 clients du fournisseur de données cloud Snowflake », je me demande ce que Snowflake fait habituellement avec toutes les données d’AT&T. Les redistribue-t-il à des « partenaires marketing » ? C’est l’impression que cela donne
    Sur le site de Snowflake, l’énoncé de mission dit : « Notre mission est de briser les silos de données, de surmonter la complexité et de permettre une collaboration sécurisée autour des données entre éditeurs, annonceurs et les technologies clés qui les soutiennent »
    Dans ce cas, on dirait que ce ne sont pas les systèmes opérationnels d’AT&T qui ont été compromis, mais plutôt que des données déjà vendues à des marketeurs ont été récupérées par quelqu’un qui n’y était pas autorisé. Je me demande si cette compréhension est correcte

    • Ce n’est peut-être pas très différent d’une fuite chez Salesforce qui affecterait ses grands clients. Les grandes entreprises utilisent des services SaaS pour une bonne partie de leurs opérations de back-office
    • Snowflake est principalement une base de données cloud pour l’OLAP. Le compte AT&T était protégé par un mauvais mot de passe et l’absence d’authentification multifacteur
    • AT&T utilisait peut-être Snowflake pour de l’analyse interne
    • Dans ce cas, AT&T est peut-être surtout en colère de ne pas avoir été payé pour ces données
  • Vu cette fuite et la nature des données présentes dans le data lake Snowflake, du point de vue des clients, je ne pense pas que cet événement soit perçu comme une « fuite ». La vraie fuite s’est déjà produite bien plus en amont
    Compte tenu de la nature des données dans la base et de la plateforme sur laquelle elles étaient stockées, il est très probable que ces données n’étaient pas destinées à un usage interne chez AT&T, mais à des tiers comme des annonceurs ou des partenaires d’analyse consommateurs, voire à des agences gouvernementales, pour une utilisation externe
    Autrement dit, si mes données se trouvaient dans ce dépôt, je considérerais qu’elles ont déjà « fuité » au moment où elles y sont entrées. Le problème ici semble être que, du point de vue d’AT&T et du FBI, elles ont fuité vers les mauvaises personnes

    • Le problème de la collecte indiscriminée de données et des bases de données de type Snowflake, c’est qu’à partir du moment où l’on saisit une information personnelle quelconque sur Internet, elle n’est plus en sécurité. Avec assez de temps, toutes ces informations seront « partagées » et utilisées dans l’intérêt financier ou politique de tiers
      Peu importe qu’il s’agisse d’AT&T, d’une banque ou du gouvernement. On ne peut s’attendre en aucune circonstance à ce que des informations sensibles restent privées
      Avant, quand on présentait Internet aux enfants, on leur enseignait cela presque comme une règle absolue ; c’est frappant de voir à quel point les choses ont changé en 20 ans
    • Je me demande combien de fois Snowflake, obsédé par l’idée d’avaler et de vendre des données plutôt que de les valider, a publiquement transmis des contenus pédopornographiques appartenant à des clients d’AT&T
  • L’action AT&T s’est déjà largement redressée après une baisse initiale de -2,6 % ce matin ; le marché semble donc considérer qu’AT&T est immunisé. Snowflake, en revanche, recule de -3,9 %, et compte beaucoup d’autres clients qu’AT&T
    https://www.marketwatch.com/investing/stock/T
    https://www.marketwatch.com/investing/stock/SNOW

    • Je n’ai jamais eu l’impression que le marché se souciait des fuites de données. Il me semble aussi que la plupart des entreprises sont rarement tenues financièrement responsables de ces fuites
      S’il y a un effet visible dans le cours de l’action, je pense qu’il est probablement sans rapport avec cette nouvelle
    • C’est comparable au fait d’avoir mis des données dans Salesforce et que Salesforce subisse une fuite. On peut être responsable d’avoir mal choisi son fournisseur, mais la vraie perte de confiance concernera Salesforce
      Dans ce cas, d’après l’article, Snowflake serait aussi à l’origine des fuites chez Ticketmaster et Lending Tree ; il y a donc de bonnes raisons que la confiance envers Snowflake chute fortement maintenant
    • Le coût n’est pas un gros problème, et les clients n’iront pas ailleurs
      Le résultat d’une action collective se transformera probablement en un bon d’essai gratuit pour un service de sonneries des années 2000 au lieu de 2 dollars chacun, ce qui finira simplement par augmenter les revenus récurrents
  • En Europe, conserver de manière exhaustive des relevés d’appels au-delà de ce qui est nécessaire à l’exploitation aurait été illégal dans plusieurs pays et, de manière générale, ne serait pas compatible avec la Convention européenne des droits de l’homme sauf en cas de menace réelle pour la sécurité nationale et de mesure temporaire sous contrôle judiciaire[1]
    Les fournisseurs de services n’ont aucune raison de stocker ce genre de choses au départ, et ce ne serait pas difficile à corriger par la loi. Il suffirait de rendre la conservation elle-même illégale
    [1] https://curia.europa.eu/juris/document/document.jsf?text=&do...

    • Au contraire, de nombreux pays européens imposent une durée de conservation obligatoire des données, souvent égale ou supérieure aux six mois de relevés qui auraient été inclus dans cette fuite
      L’Allemagne est plutôt dans la fourchette basse, avec 10 semaines, mais ces relevés doivent tout de même être conservés
      Dire que la collecte de ces relevés est illégale en Europe est clairement faux ; mieux encore, cette collecte est généralement obligatoire pendant une durée fixée par chaque pays
      Les relevés d’appels sont nécessaires pour la facturation. Comme les clients contestent souvent leurs factures, il faut aussi les conserver encore quelque temps
    • Il y a beaucoup de raisons de les conserver. Simplement, la plupart vont à l’encontre de la façon dont les gens pensent que les entreprises devraient fonctionner
      Malheureusement, les États-Unis semblent accorder plus d’importance à « l’innovation de rupture » qu’à la protection des clients, et c’est pourquoi les protections juridiques des données ne sont pas populaires au Congrès
    • Je pensais qu’il n’était pas permis au gouvernement d’ordonner aux opérateurs de télécoms de stocker tous les relevés d’appels de cette manière. En revanche, il semble qu’il ne puisse pas empêcher les opérateurs de le faire de leur propre initiative
      À mon avis, cela devrait plutôt tomber sous le coup des restrictions du RGPD
    • On dirait que vous vivez dans un pays où le gouvernement est au service de la population. Pas un gouvernement au service de lui-même
    • Ce que la NSA veut, la NSA l’obtient. Si le système fonctionne comme prévu, aucune loi supplémentaire n’est nécessaire
  • Les consommateurs sont devenus tellement insensibles aux fuites de données que ce genre d’incident ne suscite presque plus d’indignation. Sans colère des consommateurs, je pense que les entreprises ont très peu d’incitation à faire davantage pour empêcher les fuites de données

    • On commence à avoir l’impression que la confidentialité des données n’existe tout simplement plus. Je ne comprends même pas pourquoi les administrateurs de grandes bases de données clients se donnent encore la peine de définir des mots de passe de nos jours
    • Depuis l’affaire Equifax, plus personne ne semble s’en soucier. Il faudrait une grosse fuite B2B exposant des données cœur de métier, et pas seulement des informations courantes comme des noms, adresses et numéros de téléphone, pour que ce soit pris au sérieux
    • AT&T est une société cotée. Les sociétés cotées devraient payer des amendes à la hauteur
      Si l’on commençait à infliger des amendes de plusieurs milliards de dollars pour ce type de fuite, les entreprises se mettraient soudain à investir dans la sécurité
      Mais avec la récente décision de la Cour suprême qui affaiblit le pouvoir des agences gouvernementales, cela ne semble pas possible
      Il faudra désormais sans doute compter sur les tribunaux civils, autrement dit les actions collectives, pour leur faire payer des amendes
    • Beaucoup d’entreprises semblent penser qu’elles peuvent résoudre ce problème en déversant de l’argent sur leurs équipes de cybersécurité. Pourtant, les équipes de cybersécurité sont souvent peu efficaces
    • Je ne comprends pas pourquoi nous n’avons rien fait, même à l’époque où nous étions en colère
  • J’ai résilié mon compte AT&T il y a plus de dix ans, et lors du précédent piratage de mars cette année, ils conservaient encore mon ancienne adresse, mon nom complet et mon numéro de sécurité sociale
    Il est vraiment absurde qu’il n’existe pas de vraie loi permettant de sanctionner concrètement les organisations incompétentes

  • Plus tôt cette année aussi, mon numéro de sécurité sociale s’est retrouvé sur le dark web à cause d’une fuite chez AT&T ou chez l’un de ses prestataires. Un an de surveillance ne suffit pas. Il en faut à vie
    La sécurité ne les intéresse pas. Il n’existe aucune incitation réelle à changer le statu quo. Ces entreprises devraient être obligées de payer une surveillance sans limite de durée

    • Je ne comprends pas pourquoi, aux États-Unis, on traite le numéro de sécurité sociale comme un secret. Ce ne devrait pas être un « mot de passe », mais un « nom d’utilisateur »
      Dans notre pays, le numéro national d’identité peut être calculé à partir de la date de naissance, d’un numéro croissant correspondant à l’ordre de naissance ce jour-là et d’un chiffre de somme de contrôle ; et si l’on exerce ne serait-ce qu’un peu une activité indépendante, il faut inscrire son numéro fiscal personnel sur tous les reçus ou documents d’achat professionnels
      Savoir que le numéro d’identité du premier garçon né aujourd’hui est 120702450001X n’aide pas à commettre de mauvaises actions. Je n’ai pas pris la peine de calculer la somme de contrôle, mais l’algorithme est public
    • Selon les cas, le numéro de sécurité sociale pourrait même être le moindre des problèmes parmi les informations divulguées
      Il faut penser à ce qu’il advient des personnes qui ont appelé une ligne de prévention du suicide, une clinique pratiquant l’avortement, un service de remboursement de prêts, etc.
      Avec un numéro de téléphone, on peut découvrir ce genre de choses
    • Quand je suis allé à l’université à la fin des années 1980, mon numéro de sécurité sociale a été automatiquement utilisé comme numéro de carte étudiante. Quand j’ai ouvert mon premier compte bancaire en 1990, il a été utilisé comme numéro de compte
    • La Social Security Administration elle-même n’est pas viable ; si elle échoue dans les dix prochaines années, ce ne sera plus un problème
  • Selon l’article de TechCrunch, des identifiants de stations de base étaient également inclus, ce qui signifie qu’il y avait aussi des informations de localisation approximatives
    https://techcrunch.com/2024/07/12/att-phone-records-stolen-d...

  • Je me demande donc où est mon indemnisation. Bien sûr, je sais qu’il n’y a aucun recours
    Voilà ce qui arrive quand personne n’est tenu responsable de bonnes pratiques de sécurité, comme activer l’authentification multifacteur sur des entrepôts de données contenant d’énormes volumes d’informations personnelles de clients
    Ils se contentent de le signaler et de passer à autre chose, sans même s’excuser. Ça se résume à : « oups, ces satanés cybercriminels »

    • Si vous allez au tribunal demander une indemnisation, il est très probable qu’on vous demande de prouver le préjudice. Vous pensez pouvoir le faire ?
    • J’ai déjà reçu des chèques plusieurs fois pour ce genre d’affaire. Au final, on remplit un formulaire de réclamation, on attend environ cinq ans, puis un beau jour on reçoit par courrier un chèque d’un montant minuscule