AT&T betaalt 370.000 dollar losgeld na datalek gekoppeld aan Amerikaanse hacker

AT&T heeft een groot datalek bevestigd dat bijna al zijn draadloze klanten treft , waarbij het incident verband houdt met een Amerikaanse hacker die in Turkije woont. De telecomgigant betaalde naar verluidt 370.000 dollar aan losgeld om te voorkomen dat de gelekte informatie openbaar zou worden gemaakt.

De inbreuk, die afgelopen vrijdag door AT&T werd bekendgemaakt, betrof de exfiltratie van records van klantgesprekken en sms-interacties van 1 mei 2022 tot 31 oktober 2022 en 2 januari 2023. Deze records waren afkomstig van AT&T's 'werkruimte' op een externe partij. cloudplatform, en hoewel ze geen gevoelige persoonlijke informatie of de inhoud van de communicatie bevatten, bevatten ze wel details zoals telefoonnummers waarmee werd gecommuniceerd, het aantal oproepen of sms-berichten en de gespreksduur. AT&T verzekerde klanten dat er geen namen waren opgenomen in de gecompromitteerde gegevens, maar merkte op dat telefoonnummers mogelijk aan namen kunnen worden gekoppeld met behulp van openbaar beschikbare hulpmiddelen.

Als reactie op de inbreuk brengt AT&T ongeveer 110 miljoen getroffen klanten op de hoogte. Het bedrijf heeft verklaard dat de gestolen gegevens vermoedelijk niet openbaar toegankelijk zijn en heeft de aanhouding van ten minste één persoon in verband met het incident bevestigd.

Afgelopen weekend kwamen er meer details naar buiten over de inbreuk. Volgens een rapport van Wired betaalde AT&T in mei een losgeld van $370.000 in bitcoin aan een hacker om de verwijdering van de gestolen gegevens veilig te stellen. De hacker, verbonden aan de beruchte ShinyHunters-groep, eiste aanvankelijk 1 miljoen dollar, maar nam uiteindelijk genoegen met minder. Het bewijs van de betaling van het losgeld werd geleverd via de overdrachtsgegevens van cryptocurrency en werd door meerdere bronnen bevestigd.

De gestolen klantgegevens lijken afkomstig te zijn van het Snowflake-gegevensopslagplatform, dat onlangs het doelwit is geworden van hackers die gestolen inloggegevens gebruiken. Verschillende andere grote bedrijven, waaronder Ticketmaster, Santander Bank, Advance Auto Parts en Neiman Marcus, zijn ook getroffen door de Snowflake-inbreuken.

John Binns, een Amerikaanse hacker die in Turkije woont, is geïdentificeerd als een sleutelfiguur in de AT&T-hack. Binns, bekend van zijn betrokkenheid bij de T-Mobile-hack uit 2021, werd in mei 2024 in Turkije gearresteerd in verband met dat lek. Er wordt aangenomen dat zijn arrestatie verband houdt met de verklaring van AT&T over de arrestatie van een persoon.

Reddington, een onderzoeker waarmee Binns in april contact opnam, onthulde dat Binns beweerde miljoenen AT&T-klantgesprekslogboeken van Snowflake te hebben verkregen en vroeg Reddington om hulp bij het onderhandelen over een data-terugkoop met AT&T. Vanwege de arrestatie van Binns werd het losgeld uiteindelijk naar een ShinyHunters-lid gestuurd.

De hackers hebben naar verluidt de volledige AT&T-database op een cloudserver opgeslagen en verwijderd nadat ze het losgeld hadden ontvangen. Het is echter mogelijk dat monsters van de gegevens onder meerdere personen zijn verspreid voordat deze werden verwijderd.

Deze inbreuk onderstreept de aanhoudende kwetsbaarheden in cloudgebaseerde gegevensopslag en de aanhoudende dreigingen van cybercriminele groepen zoals ShinyHunters. Het benadrukt ook de complexe wisselwerking tussen internationale wetshandhaving en cyberbeveiliging terwijl bedrijven omgaan met de uitdagingen van het beschermen van gevoelige klantinformatie.

4o