En 2024, AT&T a divulgué une importante violation de données, affectant environ 109 millions de clients. Cette violation, qui a touché la quasi-totalité des clients mobiles d’AT&T, s’est produite entre le 14 et le 25 avril 2024, impliquant des données stockées sur le compte Snowflake de l’entreprise. Dans ce blog, nous explorons en détails de la violation, ses implications et les mesures prises par AT&T en réponse.
Les détails de la violation de données AT&T
Dans un formulaire 8-K déposé auprès de la SEC, AT&T a confirmé que les données volées comprenaient des enregistrements d’appels et de SMS de presque tous les clients mobiles d’AT&T et des clients des opérateurs de réseaux virtuels mobiles (MVNO). Les enregistrements s’étendent du 1er mai au 31 octobre 2022 et au 2 janvier 2023. Les données compromises consistent en:
-
Numéros de téléphone des clients filaires d’AT&T et des clients d’autres opérateurs.
-
Numéros de téléphone avec lesquels interagissent les numéros sans fil AT&T ou MVNO.
-
Nombre d’interactions (appels ou SMS).
-
Durée d’appel agrégée pour des périodes spécifiques.
-
Numéros d’identification du site cellulaire pour un sous-ensemble d’enregistrements.
Notamment, les données volées n’incluaient pas le contenu des appels ou des SMS, les noms des clients, les numéros de sécurité sociale ou les dates de naissance. Malgré l’absence de renseignements personnels directs, les métadonnées peuvent être corrélées avec des renseignements publics pour identifier les personnes.
Réponse et enquête
Après avoir découvert la violation, AT&T a collaboré avec des experts en cybersécurité et a informé les forces de l’ordre. Le département américain de la justice a autorisé AT&T à retarder la notification publique à deux reprises, en mai et juin 2024, en raison de risques potentiels pour la sécurité nationale et la sécurité publique. AT&T a signalé l’incident au FBI peu de temps après avoir identifié la violation et a travaillé en étroite collaboration avec les agences fédérales pour résoudre le problème. Cet effort de collaboration visait à atténuer les menaces immédiates tout en laissant du temps pour une enquête approfondie.
Mesures prises
En réponse à la violation, AT&T a mis en place des mesures de cybersécurité supplémentaires pour empêcher tout accès non autorisé à l’avenir et a promis d’informer bientôt les clients concernés. Les clients peuvent visiter la page FAQ d’AT&T pour vérifier si les données de leur numéro de téléphone ont été exposées et télécharger les données volées associées. À l’heure actuelle, AT&T ne rapporte aucune preuve que les données consultées ont été rendues publiques.
Les attaques de vol de données Snowflake
Les données volées ont été extraites du compte Snowflake d’AT&T, dans le cadre d’une vague d’attaques de vol de données utilisant des informations d’identification compromises. Snowflake, un fournisseur de bases de données basé sur le cloud, permet aux clients d’effectuer un entreposage et une analyse de données sur de gros volumes de données. Un acteur de la menace motivé financièrement, connu sous le nom de « UNC5537 », a été lié à de multiples attaques contre des clients Snowflake, utilisant des informations d’identification volées via un logiciel malveillant infostealer. En réponse, Snowflake a introduit la MFA obligatoire pour les administrateurs d’espace de travail afin de protéger les comptes.
La violation de données souligne les risques et les défis continus liés à la sécurisation des informations sensibles des clients à l’ère numérique. Bien que des mesures importantes aient été prises pour remédier à la violation et renforcer les mesures de cybersécurité, l’incident souligne l’importance de pratiques de sécurité robustes et d’une collaboration proactive avec les forces de l’ordre.