Het eerste rapport van AT&T over datalekken van 73 miljoen getroffenen zou slechts 51 miljoen kunnen zijn, maar blijft nog steeds slecht nieuws voor getroffen klanten

AT&T's recente datalek is verschoven ten opzichte van de oorspronkelijke schattingen, waarbij de telecomgigant aan het kantoor van de procureur-generaal van Maine heeft onthuld dat de impact nu naar verwachting meer dan 51 miljoen individuen treft, een opmerkelijke daling ten opzichte van de eerder genoemde 73 miljoen . Het lek, waar medio maart voor het eerst op werd gezinspeeld toen berichten verschenen over AT&T-gegevens die op het dark web verschenen, duurde ongeveer twee weken voordat AT&T bevestigde dat het om authentieke klantinformatie ging.

Tijdens het paasvakantieweekend maakte AT&T bekend dat de gelekte gegevens betrekking leken te hebben op ongeveer 7,6 miljoen huidige klanten en ongeveer 65,4 miljoen voormalige klanten. Deze gegevens, naar verluidt uit 2019 of eerder, werden aanvankelijk aangehaald omdat ze mogelijk alleen burgerservicenummers in gevaar zouden brengen. Uit daaropvolgende communicatie van AT&T aan getroffen personen is echter een breder scala aan gecompromitteerde informatie gebleken, waaronder volledige namen, e-mail- en postadressen, telefoonnummers, geboortedata, burgerservicenummers en AT&T-rekeningnummers en toegangscodes.

De bijgewerkte openbaarmaking van AT&T, die nu een breder scala aan gecompromitteerde persoonlijke informatie bevat, suggereert een potentieel ernstiger impact dan aanvankelijk werd aangenomen. Het bedrijf heeft echter verzekerd dat persoonlijke financiële informatie en belgeschiedenis geen deel uitmaakten van de inbreuk. De onthulling aan het kantoor van de procureur-generaal van Maine over een verminderde impact, tot meer dan 51 miljoen individuen, impliceert dat AT&T mogelijk maatregelen heeft genomen om dubbele of onnauwkeurige gegevens uit de gelekte database te verwijderen.

De oorsprong van de gegevens, die naar verluidt sinds 2021 online circuleren, blijft een mysterie, waarbij AT&T ontkent dat deze afkomstig zijn van hun systemen. Als reactie op de inbreuk krijgen getroffen klanten een jaar gratis kredietmonitoring en bescherming tegen identiteitsdiefstal aangeboden, een maatregel die erop gericht is de potentiële schade als gevolg van de gecompromitteerde gegevens te beperken.

Dit incident is niet de eerste inbreuk op de beveiliging waarbij AT&T betrokken is; in maart 2023 bracht het bedrijf 9 miljoen draadloze klanten op de hoogte van een inbreuk op hun klanteigen netwerkinformatie (CPNI) bij een externe leverancier. Deze opeenvolgende inbreuken onderstrepen de voortdurende uitdagingen waarmee bedrijven worden geconfronteerd bij het beschermen van gevoelige klantgegevens in een steeds meer onderling verbonden digitaal landschap.