Ring B for brud: Hvordan angribere slurrede 110 millioner AT&T-kunders telefonlogger
Kan du huske tilbage i begyndelsen af firserne, da AT&T's slogan var 'Reach Out and Touch Someone'? Tilsyneladende tog cyberkriminelle det bogstaveligt i april i år, da de nåede ud og rørte ved opkaldsloggens data for over en million AT&T-kunder.
Den 19. april erfarede AT&T, at ubudne gæster hævdede at have adgang til deres data. De ubudne gæster stjal derefter AT&T-logdata relateret til trådløse opkald og sms'er mellem 1. maj og 31. oktober 2022. Logoplysningerne var metadata, der indeholdt telefonnumre, som trådløse brugere ringede til, hvor mange opkald de foretog, og hvor længe opkaldene varede i alt. Det inkluderede også cellestedsidentifikationsnumre for nogle af disse opkald.
De stjålne data inkluderede ikke PII såsom opkalds- eller tekstindhold, CPR-numre eller fødselsdatoer. Men som AT&T bemærker i sin SEC arkivering for hændelsen, "Selvom dataene ikke inkluderer kundenavne, er der ofte måder, ved hjælp af offentligt tilgængelige onlineværktøjer, til at finde det navn, der er knyttet til et specifikt telefonnummer." Inkluderingen af celleside-id'er gør det også muligt for folk at bruge dette datasæt til at analysere placeringen af nogle af disse opkald – og derfor numrenes ejere.
Seks måneders opkaldslogger indeholder en stor mængde data. AT&T har udtalt, at det vil informere 110 millioner kunder, hvis opkaldsdata var impliceret i databruddet. I sin arkivering sagde den, at den ikke troede, at dataene var blevet gjort offentligt tilgængelige.
AT&T indsendte SEC-ansøgningen for bruddet den 12. juli, langt uden for det fire-dages vindue. Det forsinkede indgivelsen i overensstemmelse med Justitsministeriets anmodning, da DOJ besluttede, at indgivelse af rapporten inden for den normale fire-dages periode, som SEC anmodede om, ville være potentielt farlig. Det giver mening, da bruddet tilsyneladende var i gang, efter at teleselskabet først fik kendskab til trusselsaktørernes indtrængen. Opkaldslogdataene blev stjålet dage efter, at AT&T sagde, at de hørte om indtrængen.
Bruddet skete slet ikke i AT&T's systemer. I stedet skete det gennem en tredjeparts cloud-udbyder, som virksomheden i pressen identificerede som cloud-baseret data warehousing-virksomhed Snowflake. Dette var ikke det eneste sådanne datatyveri fra Snowflake; ifølge Mandiant fik 165 kunder deres data stjålet fra virksomhedens lagersystemer. Dette så dog ikke ud til at være en kodningssårbarhed i Snowflakes software. De kunder, der var ofre for disse tyverier, som omfattede mærker som Ticketmaster, havde én ting til fælles: deres kontooplysninger var blevet stjålet via malware, og de brugte ikke multi-faktor-godkendelse.
Hvad kan vi lære af AT&T/Snowflake Breach?
Vi kan alle lære af fejlene hos kunder, der er ramt af Snowball-bruddet, siger eksperter. "Organisationer bør have en klar forståelse af den delte sikkerhedsansvarsmodel, der følger med leverandørrelationer og implementere robuste identitets- og adgangsstyringskontroller på cloud-platforme," siger Milda Petraityte, forsker hos cybersikkerhedskonsulentfirmaet S-RM.
Snowflake tog nogle handlinger af sig selv og introducerede en ny funktion for kundernes administratorer håndhæve obligatorisk MFA den 9. juli, næsten tre måneder efter, at mængden af uautoriserede logins til dets systemer begyndte. Det er en start, men man undrer sig over, hvorfor denne funktion ikke allerede var på plads – eller hvorfor der i ånden af ægte cybersikkerhed ville være nogen anden driftsmodel end obligatorisk MFA.
Virksomhederne halter stadig langt bagefter i brugen af MFA. Ifølge CompTIA's 2024 State of Cybersecurity rapporterer, at kun 41 % af virksomhederne inkluderer brugen af MFA i deres cybersikkerhedsstrategier. Kun 38 % bruger en form for styring af cloud-arbejdsbelastning.
Det andet problem, der fik virksomheder i problemer, var at undlade at opdage og afbøde legitimationstyveri. "Flere virksomheder var ikke klar over, at de var blevet kompromitteret med infostealere, så deres legitimationsoplysninger var tilgængelige på det mørke web," påpeger Stephanie Schneider, en efterretningsanalytiker for cybertrusler hos password manager-firmaet LastPass. Detektion er et kritisk trin i enhver hændelsesplan. Fordi virksomheder ikke kunne opdage malwareinfektionen, der førte til legitimationstyveri og derefter ikke implementerede ekstra adgangsbeskyttelse, efterlod de sig selv sårbare.
Virksomheder kan lære om sikker praksis som disse i almindelige cybersikkerhedsstandarder. For eksempel nævner ISO 270001 eksplicit sikre godkendelsesmetoder såsom ekstern enhedsgodkendelse i sin Bilag A 8.5 dokumentation. Den nævner også foranstaltninger såsom kontrol af og forebyggelse af brug af uautoriseret software, dybdeforsvarsbeskyttelse af malware på tværs af flere infrastrukturelle punkter og træning af medarbejdere i at være opmærksomme på social engineering og installation af skadelig software i Kontrol 8.7—Beskyttelse mod malware.
Effektiv implementering af sådanne foranstaltninger kunne have bidraget til at forhindre AT&T's Snowflake-katastrofe sammen med mange andre virksomheders brud via den cloud-baserede tjeneste. Teleselskabet har dog haft andre cybersikkerhedshændelser at kæmpe med.
I marts i år oplyste AT&T, at PII fra 73 millioner kunder svævede rundt på det mørke web, og det vidste ikke, hvor informationen var kommet fra. Disse data, der dukkede op fra et kompromis i 2021, var nok til at udløse en class-action retssag fra frustrerede kunder.
I januar 2023 rapporterede teleselskabet, at PII fra ni millioner kundekonti var blevet kompromitteret via en af deres tredjeparts marketingpartnere. Dette understreger behovet for robuste leverandørvurderinger og løbende tredjeparts sikkerhedsrevisioner for at hjælpe med at sikre ikke kun virksomhedens eget netværk, men hele dets dataøkosystem.
At administrere den slags økosystemer er en udfordring for en virksomhed så vidtstrakt som AT&T, især i betragtning af at den også solgte kunders geolokaliseringsdata til tredjeparter uden deres samtykke. Dette er også et tegn på, at vi har brug for mere lovgivningsmæssig handling for at tvinge disse virksomheder til at implementere robuste sikkerheds- og privatlivskontroller.
