Der US-Telefonriese AT&T bestätigte am Freitag, dass er damit beginnen werde, Millionen von Verbrauchern über einen neuen Datenverstoß zu informieren, der es Cyberkriminellen ermöglichte, die Telefondaten von „fast allen“ seiner Kunden zu stehlen, sagte ein Unternehmenssprecher gegenüber Tech.
In einer Erklärung teilte AT&T mit, dass die gestohlenen Daten Telefonnummern von Mobilfunk- und Festnetzkunden sowie AT&T-Aufzeichnungen von Anrufen und Textnachrichten – beispielsweise wer wen per Telefon oder SMS kontaktiert hat – während eines sechsmonatigen Zeitraums zwischen dem 1. Mai 2022 und dem 31. Oktober 2022 enthalten.
AT&T sagte, dass einige der gestohlenen Daten neuere Aufzeichnungen vom 2. Januar 2023 für eine kleinere, aber nicht näher genannte Anzahl von Kunden umfassen.
Zu den gestohlenen Daten gehörten auch Gesprächsaufzeichnungen von Kunden mit Telefondiensten anderer Mobilfunkanbieter, die auf das Netz von AT&T angewiesen seien, teilte das Unternehmen mit.
AT&T sagte, die gestohlenen Daten „enthalten nicht den Inhalt von Anrufen oder Textnachrichten“, sondern Anruf- und Textnachrichtenaufzeichnungen, mit denen eine AT&T-Telefonnummer während des sechsmonatigen Zeitraums interagierte, sowie die Gesamtzahl der Anrufe und Textnachrichten eines Kunden und die Anrufdauer – Informationen, die oft als Metadaten bezeichnet werden. Die gestohlenen Daten enthalten weder Uhrzeit noch Datum der Anrufe oder Textnachrichten, sagte AT&T.
Zu den gestohlenen Daten gehören unter anderem mit Telefonanrufen und Textnachrichten verknüpfte Mobilfunkstandort-Identifikationsnummern. Mit diesen Informationen lässt sich der ungefähre Standort eines Anrufs oder einer gesendeten Textnachricht ermitteln.
Insgesamt werde der Telefonriese rund 110 Millionen AT&T-Kunden über die Datenpanne informieren, erklärte Unternehmenssprecherin Andrea Huguely gegenüber Tech.
AT&T veröffentlicht eine Website mit Informationen für Kunden zum Datenvorfall. AT&T gab den Datenverstoß auch bekannt in eine Einreichung bei den Aufsichtsbehörden vor der Markteröffnung am Freitag.
Verstoß im Zusammenhang mit Snowflake
AT&T erklärte, dass das Unternehmen am 19. April von der Datenpanne erfahren habe und dass diese nichts mit dem früheren Sicherheitsvorfall im März zu tun habe.
Huguely von AT&T sagte gegenüber Tech, dass die jüngsten Datendiebstähle von Kundendaten beim Cloud-Datengiganten Snowflake im Rahmen einer jüngsten Serie von Datendiebstählen erfolgt seien, die auf Kunden von Snowflake abzielten.
Snowflake ermöglicht seinen Unternehmenskunden, wie Technologieunternehmen und Telekommunikationsunternehmen, die Analyse riesiger Mengen an Kundendaten in der Cloud. Es ist unklar, aus welchem Grund AT&T Kundendaten in Snowflake speicherte, und der Sprecher wollte es auch nicht sagen.
AT&T ist nach Ticketmaster, der LendingTree-Tochter QuoteWizard und anderen das jüngste Unternehmen, das in den letzten Wochen den Diebstahl von Daten aus Snowflake bestätigt hat.
Snowflake machte seine Kunden für den Datendiebstahl verantwortlich, weil diese keine Multi-Faktor-Authentifizierung zur Sicherung ihrer Snowflake-Konten nutzten – eine Sicherheitsfunktion, die der Cloud-Datenriese seinen Kunden weder auferlegte, noch deren Nutzung verlangte.
Die auf Cybersicherheitsvorfälle spezialisierte Firma Mandiant, die von Snowflake zur Unterstützung bei der Benachrichtigung der Kunden hinzugezogen wurde, erklärte später, dass aus den Kundenkonten von etwa 165 Snowflake-Kunden eine „erhebliche Menge an Daten“ gestohlen worden sei.
Mandiant führte den Einbruch auf eine bislang nicht kategorisierte Gruppe von Cyberkriminellen zurück, die nur als UNC5537 verfolgt wird. Die Forscher von Mandiant sagen, dass die Hacker finanziell motiviert sind und Mitglieder in Nordamerika und mindestens ein Mitglied in der Türkei haben.
Bei einigen anderen Unternehmen, die Opfer des Snowflake-Kontodiebstahls wurden, wurden die Daten anschließend in bekannten Cybercrime-Foren veröffentlicht. AT&T selbst erklärte, dass man nicht davon ausgehe, dass die Daten derzeit öffentlich zugänglich seien.
In der Erklärung von AT&T hieß es, das Unternehmen arbeite mit den Strafverfolgungsbehörden zusammen, um die an dem Datendiebstahl beteiligten Cyberkriminellen festzunehmen. AT&T erklärte in seiner Erklärung, dass „mindestens eine Person festgenommen wurde“. Ein Sprecher von AT&T sagte, dass die festgenommene Person kein AT&T-Mitarbeiter sei, verwies jedoch Fragen zu den mutmaßlichen Kriminellen an das FBI. Ein FBI-Sprecher gab zunächst keinen Kommentar ab.
Dies ist der zweite Sicherheitsvorfall, den AT&T in diesem Jahr bekannt gegeben hat. AT&T war gezwungen, die Kontopasswörter von Millionen seiner Kunden zurückzusetzen, nachdem ein Cache mit Kundenkontoinformationen – darunter verschlüsselte Passwörter für den Zugriff auf AT&T-Kundenkonten – in einem Cybercrime-Forum veröffentlicht wurde. Ein Sicherheitsforscher sagte Tech damals, dass die verschlüsselten Passwörter leicht entschlüsselt werden könnten, woraufhin AT&T Vorsichtsmaßnahmen zum Schutz der Kundenkonten ergriff.