1 puan yazan GN⁺ 2024-07-13 | 1 yorum | WhatsApp'ta paylaş
  • AT&T’nin neredeyse tüm müşterilerine denk gelen yaklaşık 110 milyon kişinin arama ve kısa mesaj etkileşim kayıtları sızdı; mesaj içerikleri olmasa bile iletişim ilişkileri ve bazı konumlar tahmin edilebiliyor
  • Saldırgan, Nisan 2024’te üçüncü taraf bir bulut platformundaki AT&T çalışma alanına erişerek 1 Mayıs–31 Ekim 2022 ve 2 Ocak 2023 tarihli kayıt dosyalarını indirdi
  • Sızan verilerde arama ve mesaj içerikleri, Social Security numaraları, doğum tarihleri veya diğer kişisel olarak tanımlanabilir bilgiler yer almıyor; ancak telefon numaraları ve bazı baz istasyonu konum bilgileri bulunuyor
  • AT&T, federal soruşturma makamlarının talebi ve ulusal güvenlik ile kamu güvenliği endişelerini gerekçe göstererek açıklamayı erteledi; FBI, SEC Rule Item 1.05(c) kapsamında erteleme görüşmelerini doğruladı
  • Olay, Snowflake ile bağlantılı ihlallerle ilişkilendiriliyor; büyük ölçekli müşteri verilerinin yalnızca kullanıcı adı ve parola ile korunması uygulaması ve çok faktörlü kimlik doğrulamanın olmaması temel riskler olarak öne çıkıyor

AT&T kayıt sızıntısı neredeyse tüm müşterileri etkiledi

  • AT&T Corp., yeni bir veri ihlalinde yaklaşık 110 milyon kişinin telefon araması ve kısa mesaj kayıtlarının açığa çıktığını duyurdu
  • Etkilenen kapsam neredeyse tüm AT&T müşterilerini içeriyor; AT&T hizmetlerini yeniden satan mobil sağlayıcıların arama ve mesaj kayıtları da buna dahil
  • Bazı kayıtlarda, aramanın yapıldığı veya mesajın gönderildiği konumu belirlemek için kullanılabilecek veriler yer alıyordu

Sızan veriler ve dahil olmayan veriler

  • Saldırgan, Nisan 2024’te üçüncü taraf bir bulut platformundaki AT&T çalışma alanına erişti
  • İndirilen dosyalar, aşağıdaki dönemlere ait müşteri arama ve mesaj etkileşim kayıtlarını içeriyordu
    • 1 Mayıs–31 Ekim 2022
    • 2 Ocak 2023
  • Sızan verilerde yer almayan kalemler şunlardı
    • Arama içerikleri
    • Mesaj içerikleri
    • Social Security numaraları
    • Doğum tarihleri
    • Diğer kişisel olarak tanımlanabilir bilgiler
  • Bazı kayıtlarda, aboneye en yakın hücresel iletişim baz istasyonu konum bilgisi bulunuyordu
    • Bu bilgi, mesaj gönderen ya da arama yapan ve alan müşteri cihazlarının yaklaşık konumunu belirlemek için kullanılabilir
  • Verilerde müşteri adları bulunmuyor; ancak AT&T, belirli telefon numaralarıyla ilişkili adları bulmak için kamuya açık çevrimiçi araçların çoğu zaman kullanılabildiğini kabul etti

Açıklamanın ertelenmesi ve soruşturmanın ilerleyişi

  • AT&T, ihlalden 19 Nisan 2024’te haberdar oldu ancak federal soruşturma makamlarının talebi üzerine açıklamayı erteledi
  • AT&T’nin SEC bildirimine göre, bu ihlalle bağlantılı olarak en az 1 kişi yetkililer tarafından gözaltına alındı
  • FBI, AT&T’den etkilenen müşterilere yapılacak bildirimi ertelemesini istediğini doğruladı
  • AT&T, olası müşteri verisi ihlalini tespit ettikten kısa süre sonra olayı FBI’a bildirdi; AT&T, FBI ve DOJ, SEC Rule Item 1.05(c) kapsamında açıklamanın ertelenmesi olasılığını görüştü
  • Ertelemenin gerekçesi ulusal güvenlik ve kamu güvenliğine yönelik potansiyel risklerdi

Snowflake ihlali ve çok faktörlü kimlik doğrulamanın olmaması

  • TechCrunch’ın aktardığı AT&T sözcüsüne göre, bu müşteri verisi hırsızlığı bulut veri sağlayıcısı Snowflake’in 160’tan fazla müşterisini ilgilendiren devam eden veri ihlalinin sonucuydu
  • Saldırganlar, birçok büyük şirketin Snowflake sunucularına büyük miktarda hassas müşteri verisi yüklediğini ve hesapları yalnızca kullanıcı adı ve parola ile koruduğunu fark etti
  • Wired’a göre Snowflake veri hırsızlıklarının arkasındaki hackerlar, çalınmış Snowflake kimlik bilgilerini dark web servislerinden satın aldı
    • Bu kimlik bilgileri, bilgi çalan zararlı yazılımlarca ele geçirilen kullanıcı adları, parolalar ve kimlik doğrulama token’larını içeriyordu
  • Snowflake artık tüm yeni müşterilerinden çok faktörlü kimlik doğrulama kullanmasını istiyor
  • AT&T müşteri kayıtlarının açığa çıktığı bulut veritabanı da yalnızca kullanıcı adı ve parola ile korunuyordu; çok faktörlü kimlik doğrulama gerekmiyordu

Snowflake’ten etkilenen diğer şirketler ve AT&T’nin geçmiş ihlali

  • Snowflake sunucularından milyonlarca müşteri kaydı çalınan diğer şirketler arasında şunlar yer alıyor
    • Advance Auto Parts
    • Allstate
    • Anheuser-Busch
    • Los Angeles Unified
    • Mitsubishi
    • Neiman Marcus
    • Pure Storage
    • Santander Bank
    • State Farm
    • Ticketmaster
  • AT&T, bu yılın başlarında yaklaşık 7,6 milyon mevcut hesap sahibi ve yaklaşık 65,4 milyon eski hesap sahibini ilgilendiren 2018 tarihli bir veri ihlalini kabul ettikten sonra milyonlarca müşterinin parolasını sıfırladı
  • Advance Auto Parts’ın açığa çıkan verileri, eski ve mevcut çalışanlar veya iş başvurusunda bulunan 2,3 milyon kişinin tam adlarını, Social Security numaralarını, sürücü belgelerini ve devlet tarafından verilmiş kimlik numaralarını içeriyordu

Arama ve mesaj metaverisinin doğurduğu riskler

  • Uygulama güvenliği mimarı Mark Burnett, bu AT&T ihlalinde çalınan verilerin asıl kullanım değerinin kimin kiminle kaç kez iletişim kurduğunu bilmekte olduğunu düşünüyor
  • Burnett, bu sızıntıda en çok endişe verici noktanın AT&T’nin ana veritabanı değil, “kimin kiminle iletişim kurduğuna” dair metaveri olması olduğunu belirtti
  • Arama kayıtlarında zaman damgaları veya adlar olmasa bile, bu kayıtların hangi amaçla kullanıldığı sorusu yanıtsız kalıyor

Kurumsal sorumluluk ve finansal etki

  • Büyük şirketlerin hassas müşteri verilerini az sayıda güvenlik önlemiyle saklama uygulaması hâlâ belirsiz bir sorun olarak duruyor
  • Veri ihlallerinin ardından toplu davaların açılması dışında, zayıf güvenlik uygulamaları nedeniyle şirketleri sorumlu tutan mekanizma sayısı fazla değil
  • AT&T, SEC’e bu olayın AT&T’nin finansal durumu veya faaliyet sonuçları üzerinde önemli bir etki yaratmasının olası olmadığını bildirdi
  • AT&T’nin son çeyrek geliri 30 milyar doların üzerinde

1 yorum

 
GN⁺ 2024-07-13
Hacker News yorumları