Vol de données : les relevés téléphoniques de « presque tous » les clients d’AT&T compromis

 (techcrunch.com)
1 points par GN⁺ 2024-07-13 | 1 commentaires | Partager sur WhatsApp

Incident de fuite de données chez AT&T

  • Fuite de données chez AT&T

    • AT&T a confirmé que des cybercriminels ont volé les relevés téléphoniques de presque tous ses clients
    • Les données dérobées comprennent les numéros de téléphone, les historiques d’appels et de SMS, ainsi que des données liées à la localisation de millions de clients AT&T

  • Contenu des données volées

    • Comprend les numéros de téléphone, ainsi que les historiques d’appels et de SMS des clients fixes et mobiles
    • Le contenu des appels et des SMS n’est pas inclus
    • Les métadonnées des appels et des SMS sont incluses (nombre d’appels et de SMS, horaire des appels, etc.)
    • Certaines données comprennent aussi des relevés postérieurs au 2 janvier 2023

  • Impact de la fuite

    • Environ 110 millions de clients AT&T doivent être notifiés
    • Les relevés d’appels de clients d’autres opérateurs sont également inclus
    • Certaines données contiennent des numéros d’identification de sites cellulaires pouvant servir au suivi de localisation

  • Cause de l’incident

    • AT&T a pris connaissance de la fuite le 19 avril
    • Les données ont été volées chez Snowflake, société spécialisée dans les données cloud
    • La fuite s’est produite en raison de l’absence d’authentification multifacteur sur Snowflake
    • Mandiant a indiqué qu’environ 165 clients de Snowflake ont vu leurs données dérobées

  • Réponse juridique

    • AT&T collabore avec les forces de l’ordre pour arrêter les cybercriminels
    • Le FBI et le DOJ ont reporté l’annonce à deux reprises en invoquant des risques pour la sécurité nationale et la sécurité publique

  • Incident précédent

    • AT&T a déjà subi plus tôt cette année une fuite d’informations de comptes clients

Le récapitulatif de GN⁺

  • La fuite de données chez AT&T affecte environ 110 millions de clients
  • La cause principale est une faille de sécurité liée à l’absence d’authentification multifacteur sur Snowflake
  • L’incident soulève de graves questions concernant la protection des données personnelles des clients
  • Parmi les autres services de données cloud offrant des fonctions similaires figurent AWS et Google Cloud

À lire aussi

1 commentaires

 
GN⁺ 2024-07-13
Avis Hacker News

  • Même si chacun des 110 millions de clients d’AT&T ne consacrait qu’une minute de plus à la gestion de son compte, cela représenterait plus de 209 années perdues

    • Les lois liées aux fuites de données doivent être plus strictes
    • Si les entreprises ne prennent que des mesures de sécurité minimales, c’est parce qu’il n’existe pratiquement aucune sanction réelle en cas de fuite
    • Il faut engager la responsabilité des entreprises et poursuivre au pénal les personnes dont la négligence a provoqué la fuite
    • Il faut imposer d’énormes amendes afin que la direction et les actionnaires en subissent de vraies conséquences

  • La fuite de données liée à Snowflake concerne des données vendues à un partenaire marketing, et non les opérations d’AT&T

    • La mission de Snowflake est de briser les silos de données, surmonter la complexité et permettre une collaboration sécurisée autour des données
    • En Europe, ce type de stockage de données est illégal et incompatible avec la Convention européenne des droits de l’homme
    • Un prestataire de services n’a pas besoin de stocker ce type de données, et il serait facile de l’interdire par la loi

  • J’ai résilié mon compte AT&T il y a 10 ans, mais mon adresse, mon nom et mon SSN étaient toujours conservés

    • Il est absurde qu’il n’existe aucune loi pour sanctionner des organisations aussi incompétentes

  • L’action AT&T s’est reprise après une baisse initiale de -2,6 %, tandis que Snowflake a reculé de -3,9 %

    • Le marché considère qu’AT&T est intouchable

  • Selon l’article de TechCrunch, des identifiants de sites cellulaires étaient inclus, ce qui a aussi révélé une localisation approximative

  • Les consommateurs sont devenus tellement insensibles aux fuites de données qu’il n’y a presque plus d’indignation

    • Sans indignation des consommateurs, les entreprises n’ont aucune motivation à faire davantage d’efforts pour empêcher les fuites de données

  • Plus tôt cette année, des SSN ont fuité sur le dark web

    • Un an de surveillance ne suffit pas, il faut une surveillance à vie
    • Il n’existe aucune vraie incitation à investir dans la sécurité
    • Il faut les obliger à payer le coût d’une surveillance à durée indéterminée

  • Les entreprises comme AT&T sont immunisées contre l’usurpation d’identité

    • Le numéro EIN d’une entreprise est public, mais il ne permet pas de commettre une usurpation d’identité ou une fraude à la carte bancaire

  • Les données devraient être supprimées avec le temps

    • Un client a rarement besoin de vérifier qui l’a appelé l’année précédente
    • Sauf dans des cas comme une enquête criminelle ou des activités d’espionnage, les clients n’ont aucun droit de décider de la durée de conservation de leurs données ni de la manière dont elles sont utilisées
    • Les entreprises doivent fournir aux clients des outils et des fonctionnalités leur permettant de gérer leurs propres données