Tin tặc đánh cắp bản ghi cuộc gọi và SMS của gần như toàn bộ khách hàng AT&T
(krebsonsecurity.com)- Bản ghi tương tác cuộc gọi và tin nhắn của khoảng 110 triệu người, tương ứng gần như toàn bộ khách hàng của AT&T, đã bị rò rỉ; ngay cả khi không có nội dung, vẫn có thể suy ra quan hệ liên lạc và một phần vị trí
- Kẻ xâm nhập đã truy cập vào workspace của AT&T trên một nền tảng đám mây bên thứ ba vào tháng 4/2024 và tải xuống các tệp bản ghi từ ngày 1/5/2022 đến 31/10/2022 và ngày 2/1/2023
- Dữ liệu bị lộ không bao gồm nội dung cuộc gọi hay tin nhắn, số Social Security, ngày sinh và các thông tin nhận dạng cá nhân khác, nhưng có chứa số điện thoại và một phần thông tin vị trí trạm gốc
- AT&T đã trì hoãn công bố theo yêu cầu của cơ quan điều tra liên bang, với lý do lo ngại về an ninh quốc gia và an toàn công cộng; FBI xác nhận đã thảo luận việc trì hoãn theo SEC Rule Item 1.05(c)
- Vụ việc này có liên quan đến đợt xâm phạm Snowflake, và thực tiễn chỉ bảo vệ dữ liệu khách hàng quy mô lớn bằng tên người dùng và mật khẩu cùng với việc thiếu xác thực đa yếu tố vẫn là rủi ro cốt lõi
Rò rỉ bản ghi AT&T ảnh hưởng đến gần như toàn bộ khách hàng
- AT&T Corp. công bố rằng một vụ vi phạm dữ liệu mới đã làm lộ bản ghi cuộc gọi điện thoại và tin nhắn văn bản của khoảng 110 triệu người
- Phạm vi ảnh hưởng bao trùm gần như toàn bộ khách hàng AT&T, đồng thời bao gồm cả bản ghi cuộc gọi và tin nhắn của các nhà cung cấp di động bán lại dịch vụ AT&T
- Một số bản ghi có chứa dữ liệu có thể được dùng để xác định nơi cuộc gọi diễn ra hoặc nơi tin nhắn được gửi đi
Dữ liệu bị lộ và dữ liệu không bị lộ
- Kẻ xâm nhập đã truy cập vào workspace của AT&T trên một nền tảng đám mây bên thứ ba vào tháng 4/2024
- Các tệp được tải xuống chứa bản ghi tương tác cuộc gọi và tin nhắn của khách hàng trong các khoảng thời gian sau
- 1/5/2022 đến 31/10/2022
- 2/1/2023
- Những mục không có trong dữ liệu bị lộ gồm
- Nội dung cuộc gọi
- Nội dung tin nhắn
- Số Social Security
- Ngày sinh
- Các thông tin nhận dạng cá nhân khác
- Một số bản ghi có chứa thông tin vị trí của trạm gốc di động gần thuê bao nhất
- Thông tin này có thể được dùng để xác định vị trí tương đối của thiết bị của khách hàng khi gửi tin nhắn hoặc thực hiện/nhận cuộc gọi
- Dữ liệu không có tên khách hàng, nhưng AT&T thừa nhận rằng thường vẫn có cách tìm ra tên gắn với một số điện thoại cụ thể bằng các công cụ công khai trực tuyến
Trì hoãn công bố và tiến trình điều tra
- AT&T biết về vụ xâm nhập từ ngày 19/4/2024 nhưng đã trì hoãn công bố theo yêu cầu của cơ quan điều tra liên bang
- Theo hồ sơ SEC của AT&T, đã có ít nhất 1 người bị cơ quan chức năng tạm giữ liên quan đến vụ việc này
- FBI xác nhận đã yêu cầu AT&T trì hoãn việc thông báo cho các khách hàng bị ảnh hưởng
- Ngay sau khi xác nhận khả năng có vi phạm dữ liệu khách hàng, AT&T đã báo vụ việc cho FBI, và AT&T·FBI·DOJ đã thảo luận khả năng trì hoãn công bố theo SEC Rule Item 1.05(c)
- Lý do trì hoãn là nguy cơ tiềm ẩn đối với an ninh quốc gia và an toàn công cộng
Xâm phạm Snowflake và sự thiếu vắng xác thực đa yếu tố
- Theo người phát ngôn của AT&T được TechCrunch dẫn lời, vụ đánh cắp dữ liệu khách hàng lần này là kết quả của đợt vi phạm dữ liệu đang diễn ra liên quan đến hơn 160 khách hàng của nhà cung cấp dữ liệu đám mây Snowflake
- Kẻ tấn công nhận ra rằng nhiều tập đoàn lớn đã đưa lượng lớn dữ liệu khách hàng nhạy cảm lên máy chủ Snowflake và chỉ bảo vệ tài khoản bằng tên người dùng và mật khẩu
- Theo Wired, các tin tặc đứng sau vụ đánh cắp dữ liệu Snowflake đã mua thông tin xác thực Snowflake bị đánh cắp từ các dịch vụ trên dark web
- Các thông tin xác thực này bao gồm tên người dùng, mật khẩu và token xác thực do mã độc đánh cắp thông tin lấy ra
- Snowflake hiện yêu cầu tất cả khách hàng mới phải dùng xác thực đa yếu tố
- Cơ sở dữ liệu đám mây nơi bản ghi khách hàng AT&T bị lộ cũng chỉ được bảo vệ bằng tên người dùng và mật khẩu, và không yêu cầu xác thực đa yếu tố
Các doanh nghiệp khác bị ảnh hưởng trong vụ Snowflake và các vụ vi phạm trước đây của AT&T
- Những công ty khác bị đánh cắp hàng triệu bản ghi khách hàng từ máy chủ Snowflake bao gồm
- Advance Auto Parts
- Allstate
- Anheuser-Busch
- Los Angeles Unified
- Mitsubishi
- Neiman Marcus
- Pure Storage
- Santander Bank
- State Farm
- Ticketmaster
- Đầu năm nay, sau khi thừa nhận vụ vi phạm dữ liệu năm 2018 liên quan đến khoảng 7,6 triệu chủ tài khoản hiện tại và khoảng 65,4 triệu chủ tài khoản trước đây, AT&T đã đặt lại mật khẩu của hàng triệu khách hàng
- Dữ liệu bị lộ của Advance Auto Parts bao gồm họ tên đầy đủ, số Social Security, bằng lái xe và số ID do chính phủ cấp của 2,3 triệu nhân viên hiện tại/cũ hoặc ứng viên xin việc
Rủi ro từ metadata cuộc gọi và tin nhắn
- Kiến trúc sư bảo mật ứng dụng Mark Burnett cho rằng giá trị sử dụng thực tế của dữ liệu bị đánh cắp trong vụ AT&T lần này nằm ở việc biết được ai liên lạc với ai và bao nhiêu lần
- Burnett cho biết điều ông lo ngại nhất là dữ liệu bị lộ lần này không phải cơ sở dữ liệu chính của AT&T, mà là metadata về “ai đã liên lạc với ai”
- Ngay cả khi nhật ký cuộc gọi không có dấu thời gian hay tên, vẫn còn câu hỏi về việc những bản ghi như vậy sẽ được dùng cho mục đích gì
Trách nhiệm doanh nghiệp và tác động tài chính
- Việc các tập đoàn lớn tiếp tục lưu trữ dữ liệu khách hàng nhạy cảm với mức bảo vệ an ninh tối thiểu vẫn là một vấn đề chưa được làm rõ
- Ngoài các vụ kiện tập thể thường xuất hiện sau vi phạm dữ liệu, hiện không có nhiều cơ chế để buộc doanh nghiệp chịu trách nhiệm vì các thực hành bảo mật lỏng lẻo
- AT&T nói với SEC rằng sự cố lần này khó có khả năng gây ảnh hưởng trọng yếu đến tình hình tài chính hoặc kết quả hoạt động kinh doanh của AT&T
- Doanh thu quý gần nhất của AT&T vượt 30 tỷ USD
1 bình luận
Ý kiến trên Hacker News
Bình luận đã được chuyển sang https://news.ycombinator.com/item?id=40944505
Các liên kết thảo luận liên quan:
(272 điểm, 7 giờ trước, 210 bình luận) https://news.ycombinator.com/item?id=40944505
(76 điểm, 6 giờ trước, 31 bình luận) https://news.ycombinator.com/item?id=40944839
Đây là bài đăng trùng lặp, thảo luận bổ sung nằm tại https://news.ycombinator.com/item?id=40944505