El gigante estadounidense de la telefonía AT&T confirmó el viernes que comenzará a notificar a millones de consumidores sobre una nueva violación de datos que permitió a los ciberdelincuentes robar los registros telefónicos de "casi todos" sus clientes, dijo un portavoz de la compañía a TechCrunch.
En un comunicado, AT&T dijo que los datos robados contienen números de teléfono de clientes celulares y fijos, así como registros de llamadas y mensajes de texto de AT&T, como quién contactó a quién por teléfono o mensaje de texto, durante un período de seis meses entre el 1 de mayo de 2022 y el 31 de octubre de 2022.
AT&T dijo que algunos de los datos robados incluyen registros más recientes del 2 de enero de 2023, para un número menor pero no especificado de clientes.
Los datos robados también incluyen registros de llamadas de clientes con servicio telefónico de otros operadores de telefonía celular que dependen de la red de AT&T, dijo la compañía.
AT&T dijo que los datos robados "no contienen el contenido de llamadas o mensajes de texto", pero sí incluyen registros de llamadas y mensajes de texto con los que interactuó un número de teléfono de AT&T durante el período de seis meses, así como el recuento total de las llamadas y mensajes de texto de un cliente, y la duración de las llamadas, información que a menudo se conoce como metadatos. Los datos robados no incluyen la hora o la fecha de las llamadas o mensajes de texto, dijo AT&T.
Algunos de los registros robados incluyen números de identificación de sitios celulares asociados con llamadas telefónicas y mensajes de texto, información que se puede usar para determinar la ubicación aproximada de donde se realizó una llamada o se envió un mensaje de texto.
En total, el gigante de la telefonía dijo que notificará a alrededor de 110 millones de clientes de AT&T sobre la violación de datos, dijo la portavoz de la compañía, Andrea Huguely, a TechCrunch.
AT&T publicó un sitio web con información para los clientes sobre el incidente de datos. AT&T también reveló la violación de datos en una presentación ante los reguladores antes de la apertura del mercado el viernes.
Brecha vinculada a Snowflake
AT&T dijo que se enteró de la violación de datos el 19 de abril y que no estaba relacionada con su incidente de seguridad anterior en marzo.
Huguely, de AT&T, le dijo a TechCrunch que el compromiso más reciente de los registros de los clientes fue robado del gigante de los datos en la nube Snowflake durante una reciente serie de robos de datos dirigidos a los clientes de Snowflake.
Snowflake permite a sus clientes corporativos, como empresas de tecnología y empresas de telecomunicaciones, analizar grandes cantidades de datos de clientes en la nube. No está claro por qué razón AT&T estaba almacenando datos de clientes en Snowflake, y el portavoz no lo dijo.
AT&T es la última compañía en las últimas semanas en confirmar que le robaron datos de Snowflake, siguiendo a Ticketmaster y la subsidiaria de LendingTree, QuoteWizard, y otros.
Snowflake culpó de los robos de datos a sus clientes por no utilizar la autenticación multifactor para proteger sus cuentas de Snowflake, una característica de seguridad que el gigante de los datos en la nube no aplicó ni exigió a sus clientes que usaran.
La firma de respuesta a incidentes de ciberseguridad Mandiant, a la que Snowflake llamó para ayudar a notificar a los clientes, dijo más tarde que a unos 165 clientes de Snowflake les robaron un "volumen significativo de datos" de sus cuentas de cliente.
Mandiant atribuyó la violación a un grupo de ciberdelincuentes aún no categorizado rastreado solo como UNC5537. Los investigadores de Mandiant dicen que los piratas informáticos están motivados financieramente y tienen miembros en América del Norte y al menos un miembro en Turquía.
Algunas de las otras víctimas corporativas de los robos de cuentas de Snowflake tenían datos publicados posteriormente en foros de ciberdelincuencia conocidos. Por su parte, AT&T dijo que no cree que los datos estén disponibles públicamente en este momento.
El comunicado de AT&T dijo que estaba trabajando con las fuerzas del orden para arrestar a los ciberdelincuentes involucrados en la violación. AT&T dijo que "al menos una persona ha sido detenida". El portavoz de AT&T dijo que el individuo arrestado no era un empleado de AT&T, pero derivó las preguntas sobre los presuntos criminales al FBI.
Un portavoz del FBI confirmó a TechCrunch el viernes que después de que el gigante de la telefonía se pusiera en contacto con la agencia para informar de la violación, AT&T, el FBI y el Departamento de Justicia acordaron retrasar la notificación al público y a los clientes en dos ocasiones, citando "riesgos potenciales para la seguridad nacional y/o la seguridad pública".
"AT&T, el FBI y el Departamento de Justicia trabajaron en colaboración durante el primer y segundo proceso de retraso, al tiempo que compartieron inteligencia clave sobre amenazas para reforzar la equidad de investigación del FBI y ayudar al trabajo de respuesta a incidentes de AT&T", dijo el portavoz del FBI.
El FBI no comentó sobre el arresto de uno de los presuntos ciberdelincuentes.
Este es el segundo incidente de seguridad que AT&T ha revelado este año. AT&T se vio obligada a restablecer los códigos de acceso de millones de sus clientes después de que se publicara en un foro de delitos cibernéticos un caché de información de cuentas de clientes, incluidos códigos de acceso cifrados para acceder a las cuentas de clientes de AT&T. Un investigador de seguridad le dijo a TechCrunch en ese momento que los códigos de acceso cifrados podrían descifrarse fácilmente, lo que llevó a AT&T a tomar medidas de precaución para proteger las cuentas de los clientes.