1 points par GN⁺ 2024-07-13 | 1 commentaires | Partager sur WhatsApp
  • Les relevés d’interactions d’appels et de SMS d’environ 110 millions de personnes, soit presque tous les clients d’AT&T, ont fuité, un incident qui permet d’inférer les relations de contact et certaines localisations même sans le contenu des messages
  • En avril 2024, l’intrus a accédé à l’espace de travail AT&T sur une plateforme cloud tierce et a téléchargé des fichiers d’enregistrements couvrant la période du 1er mai au 31 octobre 2022 ainsi que le 2 janvier 2023
  • Les données volées ne comprenaient pas le contenu des appels ou des SMS, ni les numéros de sécurité sociale, dates de naissance ou autres informations personnelles identifiables, mais incluaient des numéros de téléphone et certaines données de localisation d’antennes-relais
  • AT&T a retardé la divulgation à la demande des autorités fédérales d’enquête, invoquant des préoccupations de sécurité nationale et de sécurité publique ; le FBI a confirmé les discussions sur un report au titre de la SEC Rule Item 1.05(c)
  • L’incident est lié aux compromissions autour de Snowflake, et la pratique consistant à protéger d’énormes volumes de données clients avec seulement un nom d’utilisateur et un mot de passe, sans authentification multifacteur, reste le risque central

Fuite des relevés AT&T touchant presque tous les clients

  • AT&T Corp. a révélé qu’une nouvelle violation de données a exposé les relevés d’appels téléphoniques et de SMS d’environ 110 millions de personnes
  • L’étendue de l’incident concerne presque tous les clients d’AT&T et inclut aussi les relevés d’appels et de SMS de fournisseurs mobiles qui revendent les services d’AT&T
  • Certains relevés contenaient des données pouvant servir à déterminer où un appel a eu lieu ou d’où un SMS a été envoyé

Données divulguées et données absentes

  • En avril 2024, l’intrus a accédé à l’espace de travail AT&T sur une plateforme cloud tierce
  • Les fichiers téléchargés contenaient les relevés d’interactions d’appels et de SMS des clients pour les périodes suivantes
    • du 1er mai au 31 octobre 2022
    • le 2 janvier 2023
  • Les éléments non inclus dans les données volées sont les suivants
    • le contenu des appels
    • le contenu des SMS
    • les numéros de sécurité sociale
    • les dates de naissance
    • d’autres informations personnelles identifiables
  • Certains relevés comprenaient les données de localisation de l’antenne-relais cellulaire la plus proche de l’abonné
    • Ces informations peuvent servir à estimer la position approximative de l’appareil d’un client qui a envoyé un SMS, passé un appel ou reçu un appel
  • Les données ne contenaient pas le nom des clients, mais AT&T a reconnu qu’il existe souvent des outils publics en ligne permettant de retrouver le nom associé à un numéro de téléphone précis

Divulgation retardée et enquête en cours

  • AT&T a appris l’existence de la compromission le 19 avril 2024, mais a retardé sa divulgation à la demande des autorités fédérales d’enquête
  • Selon la déclaration à la SEC d’AT&T, au moins une personne a été placée en détention par les autorités dans le cadre de cette affaire
  • Le FBI a confirmé avoir demandé à AT&T de retarder la notification aux clients concernés
  • Juste après avoir identifié cette possible violation de données clients, AT&T a signalé l’affaire au FBI, et AT&T, le FBI et le DOJ ont discuté d’un possible report de divulgation en vertu de la SEC Rule Item 1.05(c)
  • La raison du report était le risque potentiel pour la sécurité nationale et la sécurité publique

Violation liée à Snowflake et absence d’authentification multifacteur

  • Selon un porte-parole d’AT&T cité par TechCrunch, ce vol de données clients résulte de la campagne de violations de données en cours touchant plus de 160 clients du fournisseur de données cloud Snowflake
  • Les attaquants ont compris que plusieurs grandes entreprises stockaient de grandes quantités de données sensibles de clients sur des serveurs Snowflake et protégeaient ces comptes avec un simple nom d’utilisateur et mot de passe
  • D’après Wired, les hackers derrière les vols de données Snowflake ont acheté des identifiants Snowflake volés sur des services du dark web
    • Ces identifiants comprenaient des noms d’utilisateur, mots de passe et jetons d’authentification récupérés par des malwares voleurs d’informations
  • Snowflake exige désormais l’usage de l’authentification multifacteur pour tous les nouveaux clients
  • La base de données cloud exposant les relevés des clients AT&T était elle aussi protégée uniquement par un nom d’utilisateur et un mot de passe, sans authentification multifacteur obligatoire

Autres entreprises touchées via Snowflake et antécédents de violation chez AT&T

  • Parmi les autres entreprises dont les serveurs Snowflake ont servi au vol de millions de relevés clients figurent
    • Advance Auto Parts
    • Allstate
    • Anheuser-Busch
    • Los Angeles Unified
    • Mitsubishi
    • Neiman Marcus
    • Pure Storage
    • Santander Bank
    • State Farm
    • Ticketmaster
  • Plus tôt cette année, AT&T a réinitialisé les mots de passe de millions de clients après avoir reconnu une violation de données datant de 2018 impliquant environ 7,6 millions de titulaires de comptes actuels et environ 65,4 millions d’anciens titulaires
  • Les données exposées chez Advance Auto Parts incluaient les noms complets, numéros de sécurité sociale, permis de conduire et numéros d’identification émis par l’État de 2,3 millions d’employés actuels ou anciens, ou de candidats à l’embauche

Les risques laissés par les métadonnées d’appels et de SMS

  • Mark Burnett, architecte en sécurité des applications, estime que la véritable utilité des données volées lors de cette compromission d’AT&T réside dans la connaissance de qui a contacté qui et à quelle fréquence
  • Burnett s’inquiète surtout du fait que les données divulguées ne proviennent pas de la base de données principale d’AT&T, mais de métadonnées indiquant « qui a contacté qui »
  • Même sans horodatages ni noms dans les journaux d’appels, la question de l’usage qui peut être fait de tels relevés reste entière

Responsabilité des entreprises et impact financier

  • La pratique des grandes entreprises consistant à stocker des données sensibles de clients avec un niveau de protection minimal reste un problème encore mal résolu
  • En dehors des cas où des recours collectifs suivent une fuite de données, il existe peu de mécanismes pour tenir les entreprises responsables de pratiques de sécurité laxistes
  • AT&T a indiqué à la SEC qu’il n’est pas probable que cet incident ait un impact significatif sur la situation financière d’AT&T ou sur ses résultats d’exploitation
  • Le chiffre d’affaires du dernier trimestre d’AT&T a dépassé les 30 milliards de dollars

1 commentaires

 
GN⁺ 2024-07-13
Commentaires Hacker News