AT&T betaler løsesum på $370.000 efter databrud knyttet til amerikansk hacker

AT&T har bekræftet et større databrud, der påvirker næsten alle dets trådløse kunder , med hændelsen knyttet til en amerikansk hacker bosat i Tyrkiet. Telegiganten har angiveligt betalt $370.000 i løsesum for at forhindre, at de lækkede oplysninger bliver offentliggjort.

Bruddet, der blev afsløret af AT&T sidste fredag, involverede eksfiltrering af kundeopkalds- og tekstinteraktionsposter fra 1. maj 2022 til 31. oktober 2022 og 2. januar 2023. Disse registreringer stammede fra AT&T's 'arbejdsområde' på en tredjepart cloud-platformen, og selvom de ikke indeholdt følsomme personlige oplysninger eller indholdet af kommunikation, indeholdt de detaljer såsom telefonnumre, der blev interageret med, antal opkald eller tekster og opkaldsvarighed. AT&T forsikrede kunderne om, at navne ikke var inkluderet i de kompromitterede data, men bemærkede, at telefonnumre potentielt kunne linkes til navne ved hjælp af offentligt tilgængelige værktøjer.

Som svar på bruddet underretter AT&T omkring 110 millioner berørte kunder. Virksomheden har oplyst, at de stjålne data ikke menes at være offentligt tilgængelige og har bekræftet pågribelsen af mindst én person i forbindelse med hændelsen.

I løbet af weekenden kom flere detaljer frem om bruddet. Ifølge en rapport fra Wired betalte AT&T en løsesum på $370.000 i bitcoin til en hacker i maj for at sikre sletningen af de stjålne data. Hackeren, der er tilknyttet den berygtede ShinyHunters-gruppe, krævede oprindeligt 1 million dollars, men nøjedes i sidste ende med mindre. Bevis for løsesumsbetalingen blev leveret gennem cryptocurrency-overførselsposter og blev bekræftet af flere kilder.

De stjålne kundedata ser ud til at være hentet fra Snowflake-datalagringsplatformen, som for nylig er blevet ramt af hackere, der bruger stjålne legitimationsoplysninger. Flere andre store virksomheder, herunder Ticketmaster, Santander Bank, Advance Auto Parts og Neiman Marcus, er også blevet påvirket af Snowflake-brudene.

John Binns, en amerikansk hacker bosat i Tyrkiet, er blevet identificeret som en nøglefigur i AT&T hacket. Binns, kendt for sin involvering i T-Mobile-hacket i 2021, blev anholdt i Tyrkiet i maj 2024 i forbindelse med dette brud. Hans anholdelse menes at være forbundet med AT&T's udtalelse om en person, der er blevet pågrebet.

Reddington, en forsker kontaktet af Binns i april, afslørede, at Binns hævdede at have fået millioner af AT&T-kundeopkaldslogfiler fra Snowflake og søgte Reddingtons hjælp til at forhandle et datatilbagekøb med AT&T. På grund af Binns' arrestation blev løsesummen i sidste ende sendt til et ShinyHunters-medlem.

Hackerne har angiveligt gemt hele AT&T-databasen på en skyserver og slettet den efter at have modtaget løsesummen. Prøver af dataene kan dog være blevet distribueret til flere personer før sletningen.

Dette brud understreger de igangværende sårbarheder i cloud-baseret datalagring og de vedvarende trusler fra cyberkriminelle grupper som ShinyHunters. Det fremhæver også det komplekse samspil mellem international retshåndhævelse og cybersikkerhed, når virksomheder navigerer i udfordringerne med at beskytte følsomme kundeoplysninger.

4o