AT&T betalar $370 000 lösen efter dataintrång kopplat till amerikansk hacker

AT&T har bekräftat ett stort dataintrång som påverkar nästan alla dess trådlösa kunder , med incidenten kopplad till en amerikansk hacker bosatt i Turkiet. Telekomjätten ska ha betalat 370 000 dollar i lösen för att förhindra att den läckta informationen offentliggörs.

Intrånget, som avslöjades av AT&T i fredags, involverade exfiltrering av kundsamtals- och textinteraktionsposter från 1 maj 2022 till 31 oktober 2022 och 2 januari 2023. Dessa poster härrörde från AT&T:s "arbetsyta" på en tredje part molnplattform, och även om de inte inkluderade känslig personlig information eller innehållet i kommunikationen, innehöll de detaljer som telefonnummer som interagerats med, antal samtal eller sms och samtalslängd. AT&T försäkrade kunderna att namn inte inkluderades i den komprometterade informationen, men noterade att telefonnummer potentiellt kan kopplas till namn med hjälp av allmänt tillgängliga verktyg.

Som svar på intrånget underrättar AT&T cirka 110 miljoner drabbade kunder. Företaget har uppgett att de stulna uppgifterna inte tros vara allmänt tillgängliga och har bekräftat gripandet av minst en person i samband med händelsen.

Under helgen kom fler detaljer om intrånget. Enligt en rapport från Wired betalade AT&T en lösensumma på $370 000 i bitcoin till en hackare i maj för att säkra raderingen av stulna data. Hackaren, associerad med den ökända ShinyHunters-gruppen, krävde initialt 1 miljon dollar men nöjde sig till slut med mindre. Bevis på lösensumman gavs genom överföringsposter för kryptovaluta och bekräftades av flera källor.

De stulna kunduppgifterna verkar ha erhållits från Snowflake-datalagringsplattformen, som nyligen har varit måltavla av hackare som använder stulna referenser. Flera andra stora företag, inklusive Ticketmaster, Santander Bank, Advance Auto Parts och Neiman Marcus, har också påverkats av Snowflake-intrången.

John Binns, en amerikansk hackare som bor i Turkiet, har identifierats som en nyckelfigur i AT&T-hacket. Binns, känd för sin inblandning i T-Mobile-hacket 2021, greps i Turkiet i maj 2024 i samband med intrånget. Hans gripande tros vara kopplat till AT&T:s uttalande om att en person gripits.

Reddington, en forskare som Binns kontaktade i april, avslöjade att Binns påstod sig ha fått miljontals AT&T-kundsamtalsloggar från Snowflake och sökte Reddingtons hjälp med att förhandla om ett återköp av data med AT&T. På grund av Binns arrestering skickades lösensumman till sist till en ShinyHunters-medlem.

Hackarna ska ha lagrat hela AT&T-databasen på en molnserver och raderat den efter att ha tagit emot lösensumman. Prover av uppgifterna kan dock ha distribuerats till flera individer innan de raderades.

Detta intrång understryker de pågående sårbarheterna i molnbaserad datalagring och de ihållande hoten från cyberkriminella grupper som ShinyHunters. Den belyser också det komplexa samspelet mellan internationell brottsbekämpning och cybersäkerhet när företag navigerar i utmaningarna med att skydda känslig kundinformation.

4o