Vụ rò rỉ dữ liệu do đánh cắp bản ghi cuộc gọi của 'gần như toàn bộ' khách hàng AT&T

 (techcrunch.com)
1 điểm bởi GN⁺ 2024-07-13 | 1 bình luận | Chia sẻ qua WhatsApp

Vụ rò rỉ dữ liệu khách hàng của AT&T

  • Sự cố rò rỉ dữ liệu của AT&T

    • AT&T xác nhận rằng tội phạm mạng đã đánh cắp bản ghi cuộc gọi của gần như toàn bộ khách hàng
    • Dữ liệu bị đánh cắp bao gồm số điện thoại, bản ghi cuộc gọi và tin nhắn, cùng dữ liệu liên quan đến vị trí của hàng triệu khách hàng AT&T

  • Nội dung của dữ liệu bị đánh cắp

    • Bao gồm số điện thoại, bản ghi cuộc gọi và tin nhắn của khách hàng mạng cố định và di động
    • Không bao gồm nội dung cuộc gọi và tin nhắn
    • Bao gồm siêu dữ liệu của bản ghi cuộc gọi và tin nhắn (số lần gọi và nhắn tin, thời lượng cuộc gọi, v.v.)
    • Một phần dữ liệu cũng bao gồm các bản ghi từ sau ngày 2/1/2023

  • Tác động của dữ liệu bị rò rỉ

    • Dự kiến sẽ thông báo cho khoảng 110 triệu khách hàng AT&T
    • Cũng bao gồm bản ghi cuộc gọi của khách hàng từ các nhà mạng khác
    • Một phần dữ liệu có chứa mã định danh trạm phát sóng di động có thể được dùng để theo dõi vị trí

  • Nguyên nhân của vụ rò rỉ

    • AT&T nhận biết vụ rò rỉ dữ liệu vào ngày 19/4
    • Dữ liệu bị đánh cắp từ công ty dữ liệu đám mây Snowflake
    • Vụ rò rỉ xảy ra do không sử dụng xác thực đa yếu tố trên Snowflake
    • Mandiant báo cáo rằng dữ liệu của khoảng 165 khách hàng Snowflake đã bị đánh cắp

  • Phản ứng pháp lý

    • AT&T đang phối hợp với cơ quan thực thi pháp luật để bắt giữ tội phạm mạng
    • FBI và DOJ đã hai lần trì hoãn thông báo vì rủi ro đối với an ninh quốc gia và an toàn công cộng

  • Sự cố trước đó

    • AT&T cũng từng gặp sự cố rò rỉ thông tin tài khoản khách hàng vào đầu năm nay

Tóm tắt của GN⁺

  • Vụ rò rỉ dữ liệu của AT&T ảnh hưởng đến khoảng 110 triệu khách hàng
  • Nguyên nhân chính của vụ rò rỉ là lỗ hổng bảo mật do không sử dụng xác thực đa yếu tố trên Snowflake
  • Sự cố lần này đặt ra vấn đề nghiêm trọng liên quan đến bảo vệ quyền riêng tư của khách hàng
  • Các dịch vụ dữ liệu đám mây khác cung cấp chức năng tương tự gồm có AWS, Google Cloud, v.v.

Bài viết liên quan

1 bình luận

 
GN⁺ 2024-07-13
Ý kiến trên Hacker News

  • Ngay cả khi 110 triệu khách hàng của AT&T chỉ tốn thêm 1 phút để quản lý tài khoản, thì cũng đã lãng phí hơn 209 năm thời gian

    • Luật liên quan đến rò rỉ dữ liệu cần phải mạnh tay hơn
    • Lý do các công ty chỉ áp dụng các biện pháp bảo mật tối thiểu là vì gần như không có hình phạt thực chất nào cho các vụ rò rỉ
    • Cần quy trách nhiệm cho doanh nghiệp và truy cứu trách nhiệm hình sự những người đã gây ra vụ rò rỉ do bất cẩn
    • Phải áp các khoản phạt khổng lồ để ban lãnh đạo và cổ đông công ty thực sự phải gánh chịu hậu quả

  • Vụ rò rỉ dữ liệu liên quan đến Snowflake là dữ liệu được bán cho đối tác marketing bị lộ, chứ không phải từ phía vận hành của AT&T

    • Sứ mệnh của Snowflake là phá bỏ các data silo, vượt qua sự phức tạp và cho phép cộng tác dữ liệu an toàn
    • Ở châu Âu, việc lưu trữ dữ liệu như vậy là bất hợp pháp và cũng không phù hợp với Công ước châu Âu về Nhân quyền
    • Nhà cung cấp dịch vụ không cần phải lưu những dữ liệu này, và việc cấm bằng luật cũng rất dễ

  • Tôi đã hủy tài khoản AT&T từ 10 năm trước, nhưng địa chỉ, tên và SSN của tôi vẫn còn bị lưu lại

    • Thật vô lý khi không có luật nào để trừng phạt những tổ chức kém năng lực như vậy

  • Giá cổ phiếu AT&T đã phục hồi sau khi giảm 2,6% ban đầu, còn Snowflake giảm 3,9%

    • Thị trường cho rằng AT&T là bên miễn nhiễm

  • Theo bài viết của TechCrunch, vì có kèm mã định danh trạm phát sóng di động nên vị trí gần đúng cũng đã bị lộ

  • Người tiêu dùng đã trở nên chai lì trước các vụ rò rỉ dữ liệu nên gần như không còn phẫn nộ

    • Nếu người tiêu dùng không tức giận, doanh nghiệp sẽ không có động lực để nỗ lực hơn trong việc ngăn chặn rò rỉ dữ liệu

  • Đầu năm nay, SSN đã bị rò rỉ trên dark web

    • Chỉ giám sát trong 1 năm là không đủ, cần phải giám sát suốt đời
    • Không có động lực thực chất nào đối với bảo mật
    • Cần buộc họ phải trả chi phí giám sát vô thời hạn

  • Các công ty như AT&T gần như miễn nhiễm với hành vi đánh cắp danh tính

    • EIN của doanh nghiệp là công khai, nhưng không thể dùng nó để thực hiện đánh cắp danh tính hay gian lận thẻ tín dụng

  • Dữ liệu cần phải bị xóa sau một khoảng thời gian

    • Khách hàng hầu như không cần kiểm tra xem năm ngoái ai đã gọi cho mình
    • Ngoại trừ các trường hợp như điều tra tội phạm hoặc hoạt động gián điệp, khách hàng không có quyền quyết định thời gian lưu trữ và cách sử dụng dữ liệu của mình
    • Doanh nghiệp phải cung cấp công cụ và tính năng để khách hàng có thể quản lý dữ liệu của chính họ