Bilgisayar korsanları “neredeyse tüm” AT&T müşterilerinin metin ve arama kayıtlarını çaldı

AT&T cuma günü erken saatlerde yaptığı açıklamada, bilgisayar korsanlarının AT&T tarafından kullanılan bir bulut platformuna girdiğini ve AT&T’nin hücresel müşterilerinin “neredeyse tamamının” arama ve metin kayıtlarını birkaç aylık bir süre boyunca indirdiğini duyurdu.

Çoğunlukla Mayıs 2022 ile Ekim 2022 arasında yapılan aramaları ve metinleri etkileyen çalıntı veriler, AT&T ve daha geniş anlamda telekom endüstrisi için son derece önemli ve benzeri görülmemiş bir veri ihlali teşkil ediyor. Bir müşterinin hangi numaralarla etkileşime girdiğini gösteren meta veriler, genellikle yalnızca yasal süreç kapsamında hedefli bir şekilde kolluk kuvvetlerine sunuluyor. Burada, sisteme dışarıdan giriş yapan bilgisayar korsanları verileri kendileri çalmayı başardı. AT&T yaptığı duyuruda, yetkililerin ihlale karışan kişilerden birini çoktan yakaladığına inandığını söyledi. Açıklamada, “Nisan ayında AT&T, müşteri verilerinin üçüncü taraf bir bulut platformundaki çalışma alanımızdan yasadışı olarak indirildiğini öğrendi. Bir soruşturma başlattık ve suç faaliyetinin niteliğini ve kapsamını anlamak için önde gelen siber güvenlik uzmanlarını görevlendirdik. Yasadışı erişim noktasını kapatmak için gerekli adımları attık,” deniyor. AT&T, araştırmaları neticesinde, ele geçirilen verilerin, AT&T’nin neredeyse tüm hücresel müşterilerinin ve AT&T’nin ağındaki mobil sanal ağ operatörlerinin (MVNO’lar) müşterilerinin yanı sıra, şirketin 1 Mayıs 2022-31 Ekim 2022 tarihleri arasında bu hücresel numaralarla etkileşimde bulunan sabit hat müşterilerinin arama ve metin kayıtlarını barındıran dosyaları içerdiğini tespit etti. MVNO, kendi hizmet ve ürünlerini sunmak için esasen başka bir şirketin altyapısını kullanan diğer telekomünikasyon şirketlerine verilen isim. AT&T, çalınan verilerin bir kısmının “çok az sayıda müşterinin” 2 Ocak 2023 tarihli kayıtlarını da etkilediğini söyledi. Bu durumda AT&T, çalınan meta verilerin aramaların veya mesajların zaman damgalarını içermediğini, yani bilgisayar korsanlarının bir AT&T müşterisinin belirli bir numarayı ne zaman aradığını göremediklerini söyledi.  Fakat yine de hangi numaranın arandığını ya da mesaj atıldığını görebiliyorlar ki bu bilgiler hala son derece hassas ve kişisel. AT&T’nin de belirttiği gibi, bazen kamuya açık araçları kullanarak belirli bir telefon numarasına sahip olan bir kişinin kimliğini keşfetmek mümkün. AT&T, verilerin kamuya açık olduğuna inanmadığını söyledi. AT&T 404 Media’ya yaptığı açıklamada hedef alınan üçüncü taraf bulut hizmetinin bir veri depolama aracı olan Snowflake olduğunu söyledi. Snowflake, Ticketmaster ve Santander de dahil olmak üzere giderek artan sayıda ciddi ve yüksek profilli ihlalin merkezinde yer alıyor. Haziran ayında siber güvenlik şirketi Mandiant, 2020’den bu yana yüzlerce Snowflake müşterisinin kimlik bilgilerinin bilgi hırsızı kötü amaçlı yazılım tarafından ifşa edildiğini tespit ettiğini açıkladı. Bilgi hırsızları genellikle virüs bulaşmış makinelerden kullanıcı adları ve parolaların yanı sıra kimlik doğrulama belirteçleri ve çerezler de dahil olmak üzere kimlik bilgilerini topluyorlar. Bu kimlik bilgilerinin çoğu daha sonra her gün Telegram’da serbestçe dağıtılıyor.