Drei Jahre nachdem ein Hacker erstmals einen mutmaßlichen massiven Diebstahl von aufgedeckt hatte AT&T Kundendaten, ein Verstoßverkäufer hat diese Woche den vollständigen Datensatz online gestellt. Es enthält die persönlichen Daten von rund 73 Millionen AT&T-Kunden.
Eine neue Analyse des vollständig durchgesickerten Datensatzes – der Namen, Privatadressen, Telefonnummern, Sozialversicherungsnummern und Geburtsdaten enthält – weist darauf hin, dass die Daten authentisch sind. Einige AT&T-Kunden haben bestätigt, dass ihre durchgesickerten Kundendaten korrekt sind. Aber AT&T hat immer noch nicht gesagt, wie die Daten seiner Kunden online verbreitet wurden.
Der Hacker, der erstmals im August 2021 behauptete, Millionen von AT&T-Kundendaten gestohlen zu haben, veröffentlichte damals nur eine kleine Auswahl der geleakten Datensätze, was es schwierig machte, deren Echtheit zu überprüfen.
AT&T, der größte Telefonanbieter in den Vereinigten Staaten, sagte im Jahr 2021 dass die durchgesickerten Daten „scheinbar nicht aus unseren Systemen stammen“, aber es entschied sich, nicht darüber zu spekulieren, woher die Daten stammten oder ob sie gültig waren.
Troy Hunt, ein Sicherheitsforscher und Inhaber der Datenschutz-Benachrichtigungsseite Have I Been Pwned, hat kürzlich eine Kopie des vollständigen durchgesickerten Datensatzes erhalten. Hunt kam zu dem Schluss, dass die durchgesickerten Daten echt seien, indem er AT&T-Kunden fragte, ob ihre durchgesickerten Daten korrekt seien.
In ein Blogbeitrag, der die Daten analysiertLaut Hunt enthielten die Daten der 73 Millionen geleakten Datensätze 49 Millionen eindeutige E-Mail-Adressen, 44 Millionen Sozialversicherungsnummern sowie Geburtsdaten der Kunden.
Als AT&T-Sprecher Stephen Stokes um einen Kommentar gebeten wurde, sagte er gegenüber Tech in einer Erklärung: „Wir haben keine Hinweise auf eine Kompromittierung unserer Systeme.“ Wir haben im Jahr 2021 festgestellt, dass die in diesem Online-Forum angebotenen Informationen offenbar nicht aus unseren Systemen stammen. Dies scheint derselbe Datensatz zu sein, der in diesem Forum mehrmals recycelt wurde.“
Der AT&T-Sprecher antwortete nicht auf Folge-E-Mails von Tech mit der Frage, ob die angeblichen Kundendaten gültig seien oder woher die Daten seiner Kunden stammten.
Wie Hunt anmerkt, bleibt die Ursache des Verstoßes unklar. Und es ist nicht klar, ob AT&T überhaupt weiß, woher die Daten stammen. Hunt sagte, es sei plausibel, dass die Daten entweder von AT&T oder „einem von ihnen genutzten Drittverarbeiter oder von einem anderen Unternehmen, das überhaupt nichts damit zu tun hat“ stammten.
Klar ist, dass wir selbst drei Jahre später immer noch nicht der Lösung dieses mysteriösen Verstoßes näher gekommen sind, und AT&T kann auch nicht sagen, wie die Daten seiner Kunden online gelandet sind.
Die Untersuchung von Datenschutzverstößen und -lecks braucht Zeit. Aber inzwischen sollte AT&T in der Lage sein, eine bessere Erklärung dafür zu liefern, warum die Daten von Millionen seiner Kunden für jedermann sichtbar online sind.
Lorenzo Franceschi-Bicchierai von Tech hat zur Berichterstattung beigetragen.