AT&T a révélé une violation massive de données liée à Snowflake qui a affecté presque tous ses clients cellulaires.
Dans un communiqué publié vendredi, AT&T a confirmé que les données client stockées sur un espace de travail cloud hébergé par Snowflake avaient été volées en avril. Les données compromises comprenaient les enregistrements d’appels et de messages texte d’AT&T pour les clients cellulaires entre le 1er mai 2022 et le 31 octobre 2022. En plus de presque tous les clients cellulaires d’AT&T, la violation a également affecté les clients des opérateurs de réseaux mobiles virtuels qui utilisent le réseau sans fil d’AT&T. et les clients fixes d’AT&T qui ont interagi avec les numéros de téléphone cellulaires compromis entre mai et octobre 2022.
AT&T a déclaré que les données volées comprennent des enregistrements d’appels et de SMS du 2 janvier 2023 pour « un très petit nombre de clients ». Cependant, le géant des télécommunications a déclaré que la violation n’avait pas révélé le contenu de ces dossiers, les numéros de sécurité sociale ou d’autres informations personnellement identifiables.
“En avril, AT&T a appris que les données de ses clients avaient été téléchargées illégalement depuis notre espace de travail sur une plateforme cloud tierce. Nous avons lancé une enquête et engagé des experts en cybersécurité de premier plan pour comprendre la nature et la portée de l’activité criminelle”, a écrit AT&T dans le communiqué. “Nous avons pris des mesures pour fermer le point d’accès illégal. Nous travaillons avec les forces de l’ordre dans leurs efforts pour arrêter les personnes impliquées dans l’incident.”
Bien que la déclaration ne nomme pas la plate-forme cloud tierce, un porte-parole d’AT&T a confirmé à TechTarget Editorial que le fournisseur est Snowflake.
Dans un dossier 8K publié vendredi, AT&T a fourni des détails supplémentaires sur l’incident, qui s’est produit entre le 14 et le 25 avril. Le dossier indique également que le ministère américain de la Justice a déterminé à deux reprises qu’« un retard dans la divulgation publique était justifié » et qu’AT&T travaille avec les forces de l’ordre et les soutient dans leurs efforts pour arrêter les attaquants. Jusqu’à présent, AT&T a révélé qu’au moins une personne avait été appréhendée en relation avec la violation de données. Cependant, la déclaration et le dossier 8K n’ont pas révélé l’identité de l’attaquant.
Le formulaire 8K a également révélé qu’AT&T avait initialement eu connaissance de la violation parce qu’un “acteur menaçant a affirmé avoir illégalement accédé et copié les journaux d’appels d’AT&T”. Bien qu’AT&T n’ait pas confirmé l’implication de gangs de ransomwares ou de groupes d’extorsion, il est courant que ces acteurs malveillants fassent des victimes en publiant des données volées sur des sites publics de fuite de données. AT&T a déclaré avoir « immédiatement activé » ses protocoles de réponse aux incidents suite aux réclamations.
John Scott-Railton, chercheur principal au Citizen Lab de l’Université de Toronto, a souligné l’ampleur de l’attaque dans un message publié vendredi sur X, anciennement Twitter. Outre les risques pour la vie privée liés aux données volées, il a exprimé ses inquiétudes quant aux implications en matière de sécurité nationale pour les responsables gouvernementaux.
ÉTONNANT : Presque tous @ATT les enregistrements de SMS et d’appels des clients ont été violés.
Une entité inconnue possède désormais une vision de la NSA sur la vie des Américains.
Les dommages ne se limitent pas aux clients AT&T.
Mais tous ceux avec qui ils ont interagi.
C’est également un énorme incident de sécurité nationale étant donné les clients du gouvernement… pic.twitter.com/w0gNeJduQt
– John Scott-Railton (@jsrailton)
12 juillet 2024
AT&T est la dernière organisation victime à avoir divulgué une violation liée à Snowflake. En mai, le fournisseur de sécurité Mitiga a révélé qu’un groupe de menaces identifié comme UNC5537 utilisait des informations d’identification volées pour compromettre les clients de Snowflake. Le mois dernier, Mandiant a fourni des informations supplémentaires sur la chronologie de l’attaque, notamment sur le fait que les clients ciblés avaient exposé leurs informations d’identification et n’avaient pas activé l’authentification multifacteur sur leurs comptes. Parmi les autres victimes des attaques Snowflake figurent Neiman Marcus, Santander et Ticketmaster.
Arielle Waldman est rédactrice pour TechTarget Editorial couvrant la sécurité des entreprises.