AT&T ยืนยันเหตุการณ์ข้อมูลรั่วไหลที่ส่งผลกระทบต่อลูกค้าบริการไร้สายเกือบทั้งหมด

AT&T ยืนยันเหตุการณ์ข้อมูลรั่วไหลที่ส่งผลกระทบต่อลูกค้าบริการไร้สายเกือบทั้งหมด

ผู้ให้บริการโทรคมนาคมของอเมริกา AT&T ยืนยันว่ากลุ่มแฮ็กเกอร์สามารถเข้าถึงข้อมูลของลูกค้าที่ใช้เครือข่ายแบบไร้สายได้เกือบทั้งหมดของบริษัท รวมถึงลูกค้าของผู้ให้บริการ mobile virtual network operators (MVNO) ที่ใช้เครือข่ายไร้สายของ AT&T

AT&T เปิดเผยว่า กลุ่มแฮ็กเกอร์ได้เข้าถึงระบบของ AT&T บน third-party cloud platform ในระหว่างวันที่ 14 เมษายน ถึง 25 เมษายน 2024 โดยได้ขโมยข้อมูลที่มีบันทึกเกี่ยวกับการโทร และการส่งข้อความของลูกค้า ซึ่งเกิดขึ้นระหว่างวันที่ 1 พฤษภาคม ถึง 31 ตุลาคม 2022 ซึ่งอาจจะรวมถึงวันที่ 2 มกราคม 2023

ข้อมูลดังกล่าวประกอบด้วยหมายเลขโทรศัพท์ที่มีการติดต่อกับหมายเลขของ AT&T หรือ MVNO รวมถึงหมายเลขโทรศัพท์ของลูกค้าของ AT&T ที่ใช้โทรศัพท์พื้นฐาน และลูกค้าของผู้ให้บริการรายอื่น จำนวนการติดต่อเหล่านั้น และระยะเวลาการโทรรวมต่อวัน หรือเดือน

บันทึกข้อมูลบางส่วนยังมีหมายเลขประจำของเสาสัญญาณอย่างน้อยหนึ่งหมายเลข ซึ่งอาจทำให้แฮ็กเกอร์สามารถระบุตำแหน่งโดยประมาณของลูกค้าเมื่อมีการโทร หรือส่งข้อความได้ AT&T ระบุว่าจะมีการแจ้งเตือนลูกค้าปัจจุบัน และลูกค้าเก่าหากข้อมูลของพวกเขาได้รับผลกระทบ

Jake Williams อดีตแฮ็กเกอร์ของ NSA และอาจารย์ที่ IANS Research ระบุว่า แฮ็กเกอร์ได้ใช้ข้อมูลจากการโจมตีครั้งก่อน ๆ เพื่อจับคู่หมายเลขโทรศัพท์กับตัวตนของผู้ใช้ และสิ่งที่แฮ็กเกอร์ขโมยไปนั้นคือบันทึกข้อมูลการโทร (CDR) ซึ่งเป็นแหล่งข้อมูลสำคัญในการวิเคราะห์ข่าวกรอง เพราะสามารถใช้เพื่อทำความเข้าใจว่าใครกำลังคุยกับใคร และเมื่อไหร่

รายชื่อ MVNOs ของ AT&T รวมถึง Black Wireless, Boost Infinite, Consumer Cellular, Cricket Wireless, FreedomPop, FreeUp Mobile, Good2Go, H2O Wireless, PureTalk, Red Pocket, Straight Talk Wireless, TracFone Wireless, Unreal Mobile และ Wing

AT&T ไม่ได้เปิดเผยชื่อของผู้ให้บริการคลาวด์ third-party แต่รายงานของ Bloomberg ที่รายงานเหตุการณ์ข้อมูลรั่วไหลของ Snowflake ที่ส่งผลกระทบต่อลูกค้ารายอื่น ๆ เช่น Ticketmaster, Santander, Neiman Marcus และ LendingTree อาจเชื่อมโยงกับการถูกโจมตีของ AT&T ครั้งนี้

บริษัทระบุว่าได้ถึงทราบเหตุการณ์ดังกล่าวในวันที่ 19 เมษายน 2024 และได้เริ่มดำเนินการตอบสนองทันที นอกจากนี้ยังระบุว่ากำลังร่วมมือกับหน่วยงานบังคับใช้กฎหมายในความพยายามจับกุมผู้ที่เกี่ยวข้อง และมีผู้ถูกจับกุมอย่างน้อยหนึ่งคนแล้ว

404 Media รายงานว่า John Binns ชายชาวอเมริกันวัย 24 ปี ที่ถูกจับกุมในตุรกีเมื่อเดือนพฤษภาคม 2024 มีส่วนเกี่ยวข้องกับเหตุการณ์โจมตีในครั้งนี้ โดยอ้างอิงจากแหล่งข่าวที่ไม่เปิดเผยชื่อ และเขายังถูกฟ้องร้องในสหรัฐฯ ข้อหาบุกรุก T-Mobile ในปี 2021 และขายข้อมูลลูกค้าของบริษัท

อย่างไรก็ตาม AT&T เน้นย้ำว่าข้อมูลที่ถูกเข้าถึงนั้นยังไม่รวมเนื้อหาของการโทร หรือข้อความ, ข้อมูลส่วนบุคคล เช่น หมายเลขประกันสังคม วันเกิด หรือข้อมูลส่วนบุคคลอื่น ๆ ที่สามารถระบุตัวตนได้

AT&T ระบุในการยื่นเอกสารแบบฟอร์ม 8-K ต่อคณะกรรมการกำกับหลักทรัพย์ และตลาดหลักทรัพย์ของสหรัฐฯ (SEC) "ถึงแม้ว่าข้อมูลจะยังไม่มีรายชื่อของลูกค้า แต่ก็มักจะมีวิธีการใช้ online tools เพื่อค้นหาชื่อที่เกี่ยวข้องกับหมายเลขโทรศัพท์ได้โดยเฉพาะ"

นอกจากนี้บริษัทยังเรียกร้องให้ผู้ใช้ระวัง phishing, smishing และการฉ้อโกง, การหลอกลวงทางออนไลน์ โดยแนะนำให้ลูกค้าเปิดเฉพาะข้อความจากผู้ส่งที่น่าเชื่อถือได้เท่านั้น

แคมเปญการโจมตีที่มุ่งเป้าไปที่ Snowflake ส่งผลกระทบต่อลูกค้ามากถึง 165 ราย โดย Mandiant ระบุว่าการโจมตีนี้เกี่ยวข้องกับกลุ่มแฮ็กเกอร์ที่มีแรงจูงใจทางการเงินที่ชื่อว่า UNC5537 ซึ่งประกอบไปด้วยสมาชิกที่อยู่ในอเมริกาเหนือ และร่วมมือกับสมาชิกเพิ่มเติมที่อยู่ในตุรกี

กลุ่มแฮ็กเกอร์ได้เรียกร้องเงินระหว่าง 300,000 ถึง 5 ล้านดอลลาร์เพื่อแลกกับข้อมูลที่ถูกขโมยไป ล่าสุดผลกระทบจากการโจมตีครั้งนี้กำลังขยายตัว และส่งผลกระทบในวงกว้างอย่างต่อเนื่อง

WIRED เปิดเผยเมื่อเดือนที่แล้วว่า แฮ็กเกอร์ที่อยู่เบื้องหลังการขโมยข้อมูล และการเรียกค่าไถ่ได้รับข้อมูล credentials ของ Snowflake ที่ถูกขโมยมาจาก dark web ซึ่งได้ขายข้อมูลชื่อ usernames, รหัสผ่าน และโทเค็นการยืนยันตัวตนที่ถูกขโมยมาโดย stealer malware ซึ่งรวมถึงการเข้าถึงผ่าน third-party contractor ชื่อ EPAM Systems

ในส่วนของ Snowflake ได้ประกาศในสัปดาห์นี้ว่าผู้ดูแลระบบสามารถบังคับใช้ multi-factor authentication (MFA) สำหรับผู้ใช้ทั้งหมดเพื่อลดความเสี่ยงจากการถูกยึดบัญชี นอกจากนี้ยังระบุว่าจะกำหนดให้ใช้ MFA สำหรับผู้ใช้ทุกคนที่มีการสร้างบัญชีขึ้นมาใหม่ของ Snowflake ในเร็ว ๆ นี้

Update

WIRED รายงานว่า AT&T ได้จ่ายเงินให้กับแฮ็กเกอร์ที่อยู่เบื้องหลังการโจมตีในครั้งนี้ $370,000 ด้วยสกุลเงินคริปโตเพื่อขอให้ลบข้อมูลซึ่งเชื่อว่าเป็น "only copy" ของข้อมูล และให้แฮ็กเกอร์ถ่ายวิดีโอแสดงเป็นหลักฐานในการลบข้อมูลด้วย

การจ่ายเงินให้กับแฮ็กเกอร์นี้ได้ถูกจ่ายในเดือนพฤษภาคม ตามที่สมาชิกของกลุ่มแฮ็กเกอร์ที่มีชื่อว่า ShinyHunters ได้อ้างว่าอยู่เบื้องหลังเหตุการณ์ครั้งนี้โดยใช้การโจมตีจากบัญชีจัดเก็บข้อมูลของ Snowflake ที่ไม่ปลอดภัย

คณะกรรมการการสื่อสารแห่งชาติของสหรัฐฯ (FCC) ระบุว่า "เรากำลังสืบสวนกรณีเหตุการณ์การละเมิดข้อมูลของ AT&T และกำลังประสานงานกับพันธมิตรเพื่อบังคับใช้กฎหมาย"

ที่มา : THEHACKERNEWS