AT&T kasni s objavom o hakerskom napadu - ukradeni metapodaci stvoreni za potrebe FBI-ja

U petak je američki mega telekom AT&T objavio da je bio žrtva opsežnog hakerskog napada u kojem su preuzeti podaci o pozivima i porukama čak 109 milijuna korisnika. Misterija se stvara oko baze u koju je provaljeno

Ivan Podnar subota, 13. srpnja 2024. u 09:23

Prema informacijama koje je kompanija objavila, hakeri su uspjeli kopirati AT&T-ove podatke kroz platformu cloud data providera Snowflake.

Brojne vodeće korporacije pohranile su goleme količine dragocjenih i povjerljivih podataka o svojim klijentima na Snowflake servere, štiteći ih tek osnovnom kombinacijom korisničkog imena i lozinke. Među žrtvama čiji su milijuni korisničkih zapisa otuđeni s Snowflake servera našli su se i giganti poput Advance Auto Partsa, Allstatea, Anheuser-Buscha, školskog okruga Los Angeles Unified, Mitsubishija, Neiman Marcusa, Progressivea, Pure Storagea, Santander Banka, State Farmea i Ticketmastera.

Tvrtka Mandiant, specijalizirana za odgovor na incidente u kibernetičkoj sigurnosti, koju je Snowflake pozvao da pomogne u obavještavanju klijenata, kasnije je izjavila da je oko 165 Snowflakeovih klijenata imalo "značajnu količinu podataka" ukradenu iz njihovih korisničkih računa.

Što je zapravo pokradeno?

AT&T kaže da kompromitirana baza podataka sadrži evidencije poziva i SMS poruka gotovo svih AT&T-ovih mobilnih i fiksnih korisnika u razdoblju između 1. svibnja 2022. i 31. listopada 2022., uz zapise "vrlo malog broja" kupaca 2. siječnja 2023. ali da ukradeni podaci ne uključuju sadržaj poziva ili poruka, niti osjetljive osobne informacije.

Ono što je uključeno su informacije koje se obično nalaze na telefonskim računima, poput izvora i odredišta poziva te SMS poruka za AT&T-ove mobilne uređaje, uključujući i one koje koriste njihovu mrežu, Cricket, Boost Mobile i Consumer Cellular. Također, AT&T je u prijavi SEC-u (Komisiji za vrijednosne papire) naveo da su među ukradenim podacima i informacije o lokacijama mobilnih tornjeva, što bi se moglo iskoristiti za približno određivanje mjesta s kojeg je upućen poziv ili poslana tekstualna poruka.

Specijalna baza podataka

Sve to upućuje da bi se moglo raditi o specijalnoj bazi podataka koju je kontrolirao FBI za neke svoje potrebe provedbe istraga ili nadzora, jer se radi zapravo o metapodacima razgovora, a ne o podacima korisnika.

Zanimljivo je da je AT&T odgodio javno otkrivanje ovog hakerskog napada na zahtjev američkog Ministarstva pravosuđa, navodeći "zabrinutosti za nacionalnu sigurnost i javnu sigurnost" kao razlog odgode. FBI je potvrdio ovu informaciju. AT&T navodi da je jedna osoba uhićena u vezi napada, portal 404media pak da se radi o Amerikancu Johnu Binnsu koji je uhićen u Turskoj.

Bez dvofaktorske autentifikacije

O svemu je komentar napisao stručnjak za sigurnost i veliki poznavatelj hakerskog miljea, Bian Krebs. On je na svom profili na Mastodonu napisao:

“Ovdje ima toliko zaribanih problema. Za početak, AT&T kaže da su ovi podaci ukradeni kao rezultat Snowflake debakla, koji je uključivao ogromne količine korporativnih/korisničkih podataka koji su bili hostirani na Snowflakeu, ali osigurani samo korisničkim imenom i lozinkom (bez dvofaktorske autentifikacije). Nevjerojatno je da bi netko mogao smatrati da evidencija mobilnih poziva i povezani podaci o lokaciji nekako ne zaslužuju višefaktorsku autentifikaciju."

Brian Krebs, nezavisni istraživački novinar. Autor knjige 'Spam Nation', bestselera NYT-a. Bivši novinar Washington Posta. 📷 Foto: X
Brian Krebs, nezavisni istraživački novinar. Autor knjige 'Spam Nation', bestselera NYT-a. Bivši novinar Washington Posta. Foto: X

I dalje: "Poznato je da je AT&T priznao da su kibernetički lopovi ukrali u osnovi telefonske račune za sve njihove korisnike. Ovo pokreće važno pitanje: Jesu li AT&T-ovi korisnički podaci ukradeni s portala za provedbu zakona koji je postavio AT&T? Sigurno se čini sa je tako.”

Misterija oko svrhe podataka

Krebs isto citira Marka Burnetta, arhitekta za sigurnost aplikacija, konzultanta i autora. Burnett je rekao da je jedina stvarna upotreba podataka ukradenih u najnovijoj provali AT&T-a da se zna tko koga kontaktira i koliko puta.

“Najzabrinjavajuća stvar u vezi s ovom AT&T-ovom povredom podataka, koja uključuje evidencije poziva i poruka SVIH korisnika, jest činjenica da ovo nije jedna od njihovih glavnih baza podataka. Radi se o metapodacima koji pokazuju tko s kim komunicira. To me navodi na pitanje: u koju bi se svrhu mogli koristiti zapisi poziva bez vremenskih oznaka ili imena?”