1. AT&T says criminals stole phone records of 'nearly all' customers in data breach (techcrunch.com)
AT&T 客户数据泄露事件总结
事件概述
美国电信巨头 AT&T 确认发生大规模数据泄露事件,约 1.1 亿名(即“几乎所有”)客户的电话记录遭网络犯罪分子窃取。AT&T 已设立专门网站通知受影响用户,并向监管机构提交了披露文件。
泄露数据详情
- 被窃取的数据:
- 蜂窝网络和固定电话用户的电话号码。
- 2022年5月1日至10月31日期间(少数 unspecified 客户包含2023年1月2日的数据)的通话和短信元数据(包括通信双方号码、通话/短信总次数、通话时长)。
- 依赖 AT&T 网络的其他移动运营商客户的通话记录。
- 部分记录包含基站识别码(Cell site IDs),可用于推断通话或发送短信时的大致地理位置。
- 未被窃取的数据:
- 通话或短信的具体内容。
- 通话或短信的具体日期和时间。
泄露原因与攻击背景
- 泄露源头:被盗数据来自云数据公司 Snowflake。这是近期针对 Snowflake 客户(如 Ticketmaster 等)的系列数据窃取事件之一。安全响应公司 Mandiant 指出,约有 165 家 Snowflake 客户的大量数据被盗。
- 安全漏洞:Snowflake 将数据失窃归咎于客户未启用多因素认证(MFA),而 Snowflake 此前并未强制要求其客户使用该安全功能。
- 黑客组织:Mandiant 将此次攻击归因于一个名为 UNC5537 的黑客组织。该组织以经济利益为动机,成员分布在北美及至少一名在土耳其。
- 数据现状:AT&T 表示,目前认为这些被盗数据尚未在公开网络上发布。
官方响应与调查进展
- 事件发现:AT&T 于 4 月 19 日获悉此次泄露,并确认该事件与今年 3 月发生的另一起安全事件(涉及客户账户加密密码泄露)无关。
- 执法合作与逮捕:AT&T 正与执法部门合作抓捕网络罪犯,目前已逮捕至少一名嫌疑人(该嫌疑人非 AT&T 员工)。
- 延迟通知:FBI 证实,在 AT&T 报告此事后,AT&T、FBI 和美国司法部(DOJ)曾两次推迟向公众和客户发布通知,原因是考虑到“对国家安全或公共安全的潜在风险”。在此期间,各方共享了关键威胁情报以协助 FBI 调查和 AT&T 的事件响应工作。