Détails d’appels, de SMS de « presque tous » les clients de AT&T compromis

AT&T a révélé une violation massive de données liée à Snowflake, touchant presque tous ses clients mobiles.

Dans un communiqué publié vendredi, AT&T a confirmé que des données client stockées sur un espace de travail cloud hébergé par Snowflake ont été volées en avril. Les données compromises incluent les détails d’appels et de messages texte des clients mobiles d’AT&T entre le 1er mai 2022 et le 31 octobre 2022. En plus de ces clients, la violation a affecté ceux des opérateurs de réseau mobile virtuels (MVNO) utilisant le réseau d’AT&T et les clients fixes d’AT&T ayant interagi avec les numéros mobiles compromis entre mai et octobre 2022.

AT&T a précisé que les données volées incluent les détails d’appels et de messages texte du 2 janvier 2023 pour « un très petit nombre de clients ». Cependant, l’opérateur a indiqué que la violation n’a pas révélé le contenu de ces enregistrements, les numéros de sécurité sociale ou d’autres informations personnelles identifiables.

« En avril, AT&T a appris que des données clients avaient été téléchargées illégalement depuis notre espace de travail sur une plateforme cloud tierce. Nous avons lancé une enquête et fait appel à des experts en cybersécurité pour comprendre la nature et l’étendue de l’activité criminelle », a écrit AT&T dans le communiqué : « nous avons pris des mesures pour fermer le point d’accès illégal. Nous collaborons avec les forces de l’ordre pour arrêter les personnes impliquées dans cet incident ».

Bien que le communiqué ne nomme pas la plateforme cloud tierce, un porte-parole d’AT&T a confirmé que le fournisseur est Snowflake.

Dans un dépôt 8K au gendarme des marchés boursiers américains, AT&T a fourni des détails supplémentaires sur l’incident, survenu entre le 14 et le 25 avril. Le dépôt précise que le ministère de la Justice des États-Unis a déterminé à deux reprises qu’un « retard dans la divulgation publique était justifié » et qu’AT&T travaille avec les forces de l’ordre et aide leurs efforts pour arrêter les attaquants. Jusqu’à présent, AT&T a révélé qu’au moins une personne a été appréhendée en relation avec la violation de données. Cependant, le communiqué et le dépôt 8K n’ont pas révélé l’identité de l’attaquant.

Le formulaire 8K a également révélé qu’AT&T a initialement appris la violation parce qu’un « acteur malveillant a affirmé avoir accédé et copié illégalement les journaux d’appels d’AT&T ». Bien qu’AT&T n’ait pas confirmé l’implication de gangs de ransomwares ou de groupes d’extorsion, il est courant que de tels acteurs revendiquent des victimes en publiant des données volées sur des sites publics de fuites de données. AT&T a déclaré avoir « immédiatement activé » ses protocoles de réponse aux incidents suite aux revendications.

John Scott-Railton, chercheur principal au Citizen Lab de l’Université de Toronto, a souligné l’ampleur de l’attaque dans un post sur X, anciennement Twitter, vendredi. En plus des risques pour la vie privée dus aux données volées, il a exprimé des inquiétudes concernant les implications pour la sécurité nationale des responsables gouvernementaux.

AT&T est la dernière organisation victime à divulguer une violation liée à Snowflake. En mai, le vendeur de sécurité Mitiga a révélé qu’un groupe malveillant suivi sous le nom de UNC5537 utilisait des identifiants volés pour compromettre les clients de Snowflake. Le mois dernier, Mandiant a fourni des informations supplémentaires sur la chronologie de l’attaque, y compris sur le fait que les clients ciblés avaient des identifiants exposés et n’avaient pas activé l’authentification à facteurs multiples (MFA) sur leurs comptes. Les autres victimes des attaques de Snowflake incluent Neiman Marcus, Santander et Ticketmaster.

Face à cette menace, Snowflake a tout récemment donné la possibilité aux administrateurs de ses environnements clients de forcer l’utilisation de la MFA pour les comptes utilisateurs et surveiller ceux qui ne seraient pas en conformité avec cette règle. 

Selon nos confrères de Wired, AT&T aurait versé, le 17 mai, près de 374 000 dollars américains au pirate, le groupe ShinyHunters, en échange de la destruction des données dérobées et d’une vidéo en attestant..