CNN
—
Les enregistrements d’appels et de messages texte de la mi-fin 2022 de dizaines de millions de clients de téléphonie mobile AT&T et de nombreux clients non AT&T ont été exposés lors d’une violation de données massive, a révélé vendredi la société de télécommunications.
AT&T a déclaré que les données compromises incluent les numéros de téléphone de « presque tous » ses clients cellulaires et les clients des fournisseurs sans fil qui utilisent son réseau entre le 1er mai 2022 et le 31 octobre 2022.
Les journaux volés contiennent également un enregistrement de chaque numéro appelé ou envoyé par SMS par les clients d’AT&T – y compris les clients d’autres réseaux sans fil – le nombre de fois qu’ils ont interagi et la durée de l’appel.
Il est important de noter qu’AT&T a déclaré que les données volées n’incluaient pas le contenu des appels et des messages texte, ni l’heure de ces communications.
Les dossiers d’un « très petit nombre » de clients datant du 2 janvier 2023 ont également été impliqués, a déclaré AT&T.
« Nous menons une enquête en cours sur la violation d’AT&T et nous coordonnons nos efforts avec nos partenaires chargés de l’application de la loi », a déclaré la FCC sur la plateforme de médias sociaux X.
L’entreprise a imputé un « téléchargement illégal » à une plateforme cloud tierce dont elle a eu connaissance en avril, au moment même où elle était aux prises avec une fuite de données majeure sans rapport.
AT&T affirme que les données exposées ne sont pas considérées comme accessibles au public, mais CNN n’a pas été en mesure de vérifier cette affirmation de manière indépendante.
Le porte-parole d’AT&T, Alex Byers, a déclaré à CNN qu’il s’agissait d’un incident entièrement nouveau qui n’avait « aucun lien de quelque manière que ce soit » avec un autre incident révélé en mars. À l’époque, AT&T avait déclaré que des informations personnelles telles que les numéros de sécurité sociale de 73 millions de clients actuels et anciens avaient été divulguées sur le dark web.
« Nous regrettons sincèrement que cet incident se soit produit et restons déterminés à protéger les informations dont nous avons la garde », a déclaré la société dans un communiqué concernant la dernière violation.
AT&T recensait environ 110 millions d’abonnés sans fil à la fin de 2022. AT&T a déclaré que les appels internationaux n’étaient pas inclus dans les données volées, à l’exception des appels vers le Canada.
La violation concernait également les clients des lignes fixes d’AT&T qui interagissaient avec ces numéros de téléphone portable.
AT&T a déclaré que le contenu des appels ou des SMS, les informations personnelles telles que les numéros de sécurité sociale, les dates de naissance ou les noms des clients n’ont pas été exposés lors de cet incident, mais la société a reconnu que les outils accessibles au public peuvent souvent relier les noms à des numéros de téléphone spécifiques.
AT&T a également indiqué que pour un sous-ensemble non divulgué de ses enregistrements, un ou plusieurs numéros d’identification de sites cellulaires liés aux appels et aux SMS ont également été exposés. De telles données pourraient révéler la localisation géographique générale d’une ou plusieurs des parties.
AT&T a promis d’informer les clients actuels et anciens dont les informations étaient concernées et de leur fournir des ressources pour protéger leurs informations.
Les données d’utilisation telles que l’heure des appels et des messages texte n’ont pas non plus été compromises. Mais le porte-parole d’AT&T, Byers, a déclaré à CNN que le nombre d’appels et de messages texte, ainsi que la durée totale des appels pour des jours ou des mois spécifiques, ont été dévoilés.
Cela signifie que les données ne permettraient pas d’identifier précisément quand un numéro de téléphone en a appelé un autre, mais pourraient révéler à quelle fréquence deux parties se sont appelées – et combien de temps elles ont parlé – à des jours précis.
AT&T a déclaré avoir appris le 19 avril qu’un « acteur malveillant a affirmé avoir accédé illégalement aux journaux d’appels d’AT&T et les avoir copiés ». L’entreprise a déclaré avoir « immédiatement » embauché des experts et une enquête ultérieure a déterminé que des pirates avaient exfiltré des fichiers entre le 14 et le 25 avril.
L’entreprise a déclaré que le ministère américain de la Justice avait décidé en mai et en juin qu’un retard dans la divulgation publique était justifié. Le FBI a déclaré qu’AT&T avait contacté l’entreprise peu de temps après avoir appris le piratage, mais que l’agence souhaitait examiner les données pour déceler d’éventuels risques pour la sécurité nationale.
« Lors de l’évaluation de la nature de la violation, toutes les parties ont discuté d’un retard potentiel dans la publication des rapports… en raison de risques potentiels pour la sécurité nationale et/ou la sécurité publique », a déclaré le FBI dans un communiqué. « AT&T, le FBI et le DOJ ont travaillé en collaboration tout au long du premier et du deuxième processus de retard, tout en partageant des renseignements clés sur les menaces pour renforcer les fonds d’enquête du FBI et pour aider AT&T dans son travail de réponse aux incidents. »
« C’est très inquiétant. Ces informations sont très précieuses pour les cybercriminels et les États-nations », a déclaré à CNN Sanaz Yashar, cofondateur et PDG de la société de cybersécurité Zafran.
Yashar, ancien cyber-espion israélien, a déclaré que les acteurs malveillants peuvent corréler les données d’identification cellulaire avec d’autres informations facilement disponibles pour déterminer où quelqu’un travaille – y compris dans des lieux sensibles comme la Maison Blanche et le Pentagone.
« Vous n’avez pas besoin de l’horodatage. Si quelqu’un est là tous les jours, vous pouvez comprendre qu’il travaille selon ses habitudes. C’est une information très secrète et une façon pour les espions de faire des choses. »
Les actions d’AT&T ont chuté de 1% vendredi après la nouvelle.
Dans le nouvel incident, AT&T a déclaré à CNN avoir appris en avril que des données clients avaient été téléchargées illégalement depuis son espace de travail sur Snowflake, une plateforme cloud tierce.
Brad Jones, responsable de la sécurité informatique chez Snowflake, a déclaré à CNN dans un communiqué séparé que la société n’avait trouvé aucune preuve que cette activité était « causée par une vulnérabilité, une mauvaise configuration ou une violation de la plateforme de Snowflake ». Jones a déclaré que cela a été vérifié par des enquêtes menées par des experts en cybersécurité tiers chez Mandiant et CrowdStrike.
AT&T a déclaré avoir lancé une enquête, embauché des experts en cybersécurité et pris des mesures pour fermer le « point d’accès illégal ».
La société a déclaré qu’elle coopérait avec les efforts des forces de l’ordre pour appréhender les responsables et comprend qu’au moins une personne a déjà été arrêtée.
Cette histoire a été mise à jour avec un contexte et des développements supplémentaires.