AT&T hat damit begonnen, die Behörden und Aufsichtsbehörden der US-Bundesstaaten über einen Sicherheitsvorfall zu informieren, nachdem bestätigt wurde, dass Millionen von im letzten Monat online veröffentlichten Kundendaten authentisch waren.
In eine gesetzlich vorgeschriebene Hinterlegung Zusammen mit der Generalstaatsanwaltschaft von Maine teilte der US-Telekommunikationsriese mit, er habe Briefe verschickt, in denen er mehr als 51 Millionen Menschen darüber informiert habe, dass ihre persönlichen Daten durch die Datenpanne kompromittiert worden seien, darunter etwa 90.000 Personen in Maine.
AT&T – das größte Telekommunikationsunternehmen in den Vereinigten Staaten – sagte, dass zu den verletzten Daten der vollständige Name, die E-Mail-Adresse, die Postanschrift, das Geburtsdatum, die Telefonnummer und die Sozialversicherungsnummer der Kunden gehörten.
Laut AT&T stammten die durchgesickerten Kundeninformationen aus der Zeit Mitte 2019 und früher, die Aufzeichnungen enthielten jedoch gültige Daten zu mehr als 7,9 Millionen aktuellen AT&T-Kunden.
AT&T ergriff Maßnahmen etwa drei Jahre, nachdem ein Teil der durchgesickerten Daten erstmals online aufgetaucht war, was eine sinnvolle Analyse der Daten verhinderte. Der gesamte Cache mit 73 Millionen geleakten Kundendatensätzen wurde letzten Monat online gestellt, sodass Kunden überprüfen konnten, ob ihre Daten echt waren. Einige der Aufzeichnungen enthielten Duplikate.
Zu den geleakten Daten gehörten auch verschlüsselte Kontopasswörter, die den Zugriff auf Kundenkonten ermöglichen.
Kurz nach der Veröffentlichung des vollständigen Datensatzes teilte ein Sicherheitsforscher Tech mit, dass die in den durchgesickerten Daten gefundenen verschlüsselten Passwörter leicht zu entschlüsseln seien. AT&T hat diese Kontopasswörter zurückgesetzt, nachdem Tech AT&T am 26. März auf das Risiko für Kunden aufmerksam gemacht hatte. Tech hielt an seiner Geschichte fest, bis AT&T den Prozess des Zurücksetzens der Passcodes der betroffenen Kunden abschließen konnte.
AT&T räumte schließlich ein, dass die durchgesickerten Daten seinen Kunden gehörten, darunter etwa 65 Millionen ehemalige Kunden.
Unternehmen, bei denen es zu Datenschutzverletzungen kommt, von denen eine große Anzahl von Menschen betroffen ist, müssen den Vorfall gemäß den Gesetzen zur Meldung von Datenschutzverletzungen den US-Generalstaatsanwälten melden. In seiner in Maine eingereichten Mitteilung erklärte AT&T, dass es betroffenen Kunden Identitätsdiebstahl und Kreditüberwachung anbietet.
AT&T hat die Quelle des Lecks immer noch nicht identifiziert.