Fuite de données chez AT&T : les relevés téléphoniques de « presque tous » les clients volés
(techcrunch.com)- La nouvelle fuite de données d’AT&T a touché les relevés de relations d’appels et de SMS de presque tous les clients, et une notification sera envoyée à environ 110 millions de personnes
- Les données volées portent principalement sur les métadonnées d’appels et de SMS du 1er mai 2022 au 31 octobre 2022, et pour certains clients, des relevés du 2 janvier 2023 sont également inclus
- Le contenu des messages ainsi que les dates et heures exactes n’y figurent pas, mais les données exposent qui a contacté qui, ainsi que le volume et la durée des appels, et certains identifiants de sites cellulaires
- Cet incident est distinct de l’incident de sécurité d’AT&T survenu en mars et est lié à la récente vague de vols de données visant des comptes clients Snowflake
- L’absence d’utilisation de l’authentification multifacteur pour protéger des comptes Snowflake est devenue un point central, et Mandiant a confirmé d’importants vols de données sur environ 165 comptes clients
Étendue des relevés téléphoniques divulgués chez AT&T
- AT&T prévoit de notifier environ 110 millions de personnes à la suite de cet incident
- Les données volées incluent les numéros de téléphone et les relevés d’appels et de SMS des clients mobiles et fixes d’AT&T
- La période concernée couvre six mois, du 1er mai 2022 au 31 octobre 2022
- Pour certains clients, des relevés plus récents du 2 janvier 2023 sont également inclus, mais le nombre de clients concernés n’a pas été communiqué
- Les relevés d’appels de clients d’autres opérateurs utilisant le réseau d’AT&T figurent aussi dans les données compromises
- Les données divulguées ne contiennent ni le contenu des appels ni celui des messages
- Il est possible d’identifier avec quels numéros un numéro AT&T donné a passé des appels ou échangé des SMS
- Le total des appels et des SMS d’un client ainsi que la durée des appels sont inclus
- Les dates et heures des appels et des messages ne sont pas incluses
- Certains relevés comprennent des identifiants de sites cellulaires associés aux appels téléphoniques ou aux SMS
- Ces informations permettent d’estimer la zone approximative depuis laquelle un appel a été passé ou un message envoyé
- AT&T a révélé l’incident via une page d’information destinée aux clients et un document déposé auprès des autorités de régulation
Vol de comptes Snowflake et état de l’enquête
- AT&T indique avoir pris connaissance de cette fuite de données le 19 avril et affirme qu’elle n’est pas liée au précédent incident de sécurité rendu public en mars
- Il a été confirmé que les relevés clients les plus récents ont été volés depuis Snowflake dans le cadre de la récente vague de vols de données visant des clients Snowflake
- Snowflake est un service permettant aux entreprises d’analyser dans le cloud de grands volumes de données clients
- La raison pour laquelle AT&T stockait des données clients dans Snowflake n’a pas été rendue publique
- Ces dernières semaines, Ticketmaster et QuoteWizard, filiale de LendingTree, ont eux aussi confirmé que des données avaient été volées depuis Snowflake
- Snowflake estime que la responsabilité du vol de données incombe aux clients qui n’utilisaient pas l’authentification multifacteur pour protéger leurs comptes
- Snowflake n’imposait toutefois pas cette fonction de sécurité à ses clients et ne la rendait pas obligatoire
- Mandiant, sollicité par Snowflake pour aider aux notifications clients, a confirmé qu’une quantité importante de données avait été volée sur environ 165 comptes clients Snowflake
- Mandiant attribue cette intrusion à un groupe cybercriminel encore non classé, suivi sous le nom UNC5537
- Les pirates sont considérés comme motivés par l’argent
- Les membres se trouvent en Amérique du Nord, et au moins l’un d’eux est en Turquie
- Une partie des données de certaines entreprises victimes du vol de comptes Snowflake a été publiée sur des forums cybercriminels connus, mais AT&T estime que ses propres données ne sont pas actuellement accessibles publiquement
- AT&T affirme coopérer avec les forces de l’ordre pour faire arrêter les cybercriminels impliqués, et au moins une personne a été arrêtée
- La personne arrêtée n’est pas un employé d’AT&T
- Le FBI n’a pas commenté cette arrestation
- Le FBI a confirmé qu’après le signalement de la compromission par AT&T, AT&T, le FBI et le ministère de la Justice ont convenu à deux reprises de retarder l’information des clients et du public
- La raison invoquée était un risque potentiel pour la sécurité nationale et la sécurité publique
- Pendant la procédure de report, les trois parties ont partagé des renseignements sur la menace afin de soutenir l’enquête du FBI et la réponse à incident d’AT&T
- Cet incident est le deuxième incident de sécurité rendu public par AT&T cette année
- Auparavant, après la publication sur un forum cybercriminel d’un cache de données de comptes clients, AT&T avait dû réinitialiser les mots de passe de compte de millions de clients
- Ce cache contenait des codes d’accès chiffrés permettant d’accéder à des comptes clients AT&T, et des chercheurs en sécurité estimaient qu’ils pouvaient être déchiffrés facilement
1 commentaires
Avis sur Hacker News
AT&T compte 110 millions de clients ; si, à cause de cette intrusion, chacun passe seulement une minute de plus à gérer son compte, cela représente au total plus de 209 ans de temps perdu
Les lois sur les fuites de données devraient être bien plus strictes. S’il n’y a quasiment aucune conséquence réelle en cas de fuite, les entreprises n’investiront que le minimum dans la sécurité des données
Il faudrait soit percer le voile de la personnalité morale et poursuivre pénalement les personnes dont la négligence a rendu cela possible, soit infliger des amendes suffisamment lourdes pour que la direction et les actionnaires en ressentent réellement l’impact
Tout le monde blâme l’entreprise, mais personne ne semble se demander s’il est normal que le gouvernement dispose de l’historique complet de toutes mes communications. Autrefois, on aurait appelé cela un État de surveillance dystopique
Je n’ai pas envie d’être tenu légalement responsable si mon logiciel est compromis à cause d’une vulnérabilité que j’ignorais
Une première étape raisonnable pourrait être de créer des normes, audits et certifications tiers en matière de sécurité des données, afin que les consommateurs attachés à la confidentialité et à la sécurité sachent ce que font les entreprises. Si les consommateurs y voient de la valeur, ils privilégieront ces entreprises, et les autres pourraient suivre
Je n’arrive pas à comprendre que ce ne soit pas déjà illégal
AT&T deviendrait presque, du jour au lendemain, un service chiffré de bout en bout
La ligne elle-même ne serait pas chiffrée, donc la NSA pourrait toujours écouter, mais au moins les datacenters d’AT&T pourraient ne plus avoir aucun stockage modifiable, à l’exception des disques de démarrage, des files de messages SMS et de la correspondance entre SIM autorisées et numéros de téléphone
Je ne comprends pas pourquoi on continue aujourd’hui à conserver les journaux d’appels. Ils ne sont même plus nécessaires à leur objectif initial, la facturation
S’il s’agit d’une « fuite de données toujours en cours impliquant plus de 160 clients du fournisseur de données cloud Snowflake », je me demande ce que Snowflake fait habituellement avec toutes les données d’AT&T. Les redistribue-t-il à des « partenaires marketing » ? C’est l’impression que cela donne
Sur le site de Snowflake, l’énoncé de mission dit : « Notre mission est de briser les silos de données, de surmonter la complexité et de permettre une collaboration sécurisée autour des données entre éditeurs, annonceurs et les technologies clés qui les soutiennent »
Dans ce cas, on dirait que ce ne sont pas les systèmes opérationnels d’AT&T qui ont été compromis, mais plutôt que des données déjà vendues à des marketeurs ont été récupérées par quelqu’un qui n’y était pas autorisé. Je me demande si cette compréhension est correcte
Vu cette fuite et la nature des données présentes dans le data lake Snowflake, du point de vue des clients, je ne pense pas que cet événement soit perçu comme une « fuite ». La vraie fuite s’est déjà produite bien plus en amont
Compte tenu de la nature des données dans la base et de la plateforme sur laquelle elles étaient stockées, il est très probable que ces données n’étaient pas destinées à un usage interne chez AT&T, mais à des tiers comme des annonceurs ou des partenaires d’analyse consommateurs, voire à des agences gouvernementales, pour une utilisation externe
Autrement dit, si mes données se trouvaient dans ce dépôt, je considérerais qu’elles ont déjà « fuité » au moment où elles y sont entrées. Le problème ici semble être que, du point de vue d’AT&T et du FBI, elles ont fuité vers les mauvaises personnes
Peu importe qu’il s’agisse d’AT&T, d’une banque ou du gouvernement. On ne peut s’attendre en aucune circonstance à ce que des informations sensibles restent privées
Avant, quand on présentait Internet aux enfants, on leur enseignait cela presque comme une règle absolue ; c’est frappant de voir à quel point les choses ont changé en 20 ans
L’action AT&T s’est déjà largement redressée après une baisse initiale de -2,6 % ce matin ; le marché semble donc considérer qu’AT&T est immunisé. Snowflake, en revanche, recule de -3,9 %, et compte beaucoup d’autres clients qu’AT&T
https://www.marketwatch.com/investing/stock/T
https://www.marketwatch.com/investing/stock/SNOW
S’il y a un effet visible dans le cours de l’action, je pense qu’il est probablement sans rapport avec cette nouvelle
Dans ce cas, d’après l’article, Snowflake serait aussi à l’origine des fuites chez Ticketmaster et Lending Tree ; il y a donc de bonnes raisons que la confiance envers Snowflake chute fortement maintenant
Le résultat d’une action collective se transformera probablement en un bon d’essai gratuit pour un service de sonneries des années 2000 au lieu de 2 dollars chacun, ce qui finira simplement par augmenter les revenus récurrents
En Europe, conserver de manière exhaustive des relevés d’appels au-delà de ce qui est nécessaire à l’exploitation aurait été illégal dans plusieurs pays et, de manière générale, ne serait pas compatible avec la Convention européenne des droits de l’homme sauf en cas de menace réelle pour la sécurité nationale et de mesure temporaire sous contrôle judiciaire[1]
Les fournisseurs de services n’ont aucune raison de stocker ce genre de choses au départ, et ce ne serait pas difficile à corriger par la loi. Il suffirait de rendre la conservation elle-même illégale
[1] https://curia.europa.eu/juris/document/document.jsf?text=&do...
L’Allemagne est plutôt dans la fourchette basse, avec 10 semaines, mais ces relevés doivent tout de même être conservés
Dire que la collecte de ces relevés est illégale en Europe est clairement faux ; mieux encore, cette collecte est généralement obligatoire pendant une durée fixée par chaque pays
Les relevés d’appels sont nécessaires pour la facturation. Comme les clients contestent souvent leurs factures, il faut aussi les conserver encore quelque temps
Malheureusement, les États-Unis semblent accorder plus d’importance à « l’innovation de rupture » qu’à la protection des clients, et c’est pourquoi les protections juridiques des données ne sont pas populaires au Congrès
À mon avis, cela devrait plutôt tomber sous le coup des restrictions du RGPD
Les consommateurs sont devenus tellement insensibles aux fuites de données que ce genre d’incident ne suscite presque plus d’indignation. Sans colère des consommateurs, je pense que les entreprises ont très peu d’incitation à faire davantage pour empêcher les fuites de données
Si l’on commençait à infliger des amendes de plusieurs milliards de dollars pour ce type de fuite, les entreprises se mettraient soudain à investir dans la sécurité
Mais avec la récente décision de la Cour suprême qui affaiblit le pouvoir des agences gouvernementales, cela ne semble pas possible
Il faudra désormais sans doute compter sur les tribunaux civils, autrement dit les actions collectives, pour leur faire payer des amendes
J’ai résilié mon compte AT&T il y a plus de dix ans, et lors du précédent piratage de mars cette année, ils conservaient encore mon ancienne adresse, mon nom complet et mon numéro de sécurité sociale
Il est vraiment absurde qu’il n’existe pas de vraie loi permettant de sanctionner concrètement les organisations incompétentes
Plus tôt cette année aussi, mon numéro de sécurité sociale s’est retrouvé sur le dark web à cause d’une fuite chez AT&T ou chez l’un de ses prestataires. Un an de surveillance ne suffit pas. Il en faut à vie
La sécurité ne les intéresse pas. Il n’existe aucune incitation réelle à changer le statu quo. Ces entreprises devraient être obligées de payer une surveillance sans limite de durée
Dans notre pays, le numéro national d’identité peut être calculé à partir de la date de naissance, d’un numéro croissant correspondant à l’ordre de naissance ce jour-là et d’un chiffre de somme de contrôle ; et si l’on exerce ne serait-ce qu’un peu une activité indépendante, il faut inscrire son numéro fiscal personnel sur tous les reçus ou documents d’achat professionnels
Savoir que le numéro d’identité du premier garçon né aujourd’hui est 120702450001X n’aide pas à commettre de mauvaises actions. Je n’ai pas pris la peine de calculer la somme de contrôle, mais l’algorithme est public
Il faut penser à ce qu’il advient des personnes qui ont appelé une ligne de prévention du suicide, une clinique pratiquant l’avortement, un service de remboursement de prêts, etc.
Avec un numéro de téléphone, on peut découvrir ce genre de choses
Selon l’article de TechCrunch, des identifiants de stations de base étaient également inclus, ce qui signifie qu’il y avait aussi des informations de localisation approximatives
https://techcrunch.com/2024/07/12/att-phone-records-stolen-d...
Je me demande donc où est mon indemnisation. Bien sûr, je sais qu’il n’y a aucun recours
Voilà ce qui arrive quand personne n’est tenu responsable de bonnes pratiques de sécurité, comme activer l’authentification multifacteur sur des entrepôts de données contenant d’énormes volumes d’informations personnelles de clients
Ils se contentent de le signaler et de passer à autre chose, sans même s’excuser. Ça se résume à : « oups, ces satanés cybercriminels »