skakel b vir oortreding hoe aanvallers 110 miljoen at&t-kliënte se telefoonlogboek-banier opgeslurp het

Skakel B vir oortreding: hoe aanvallers 110 miljoen AT&T-kliënte se telefoonlogboeke opgeslurp het

Onthou jy terug in die vroeë tagtigerjare toe AT&T se slagspreuk 'Reik uit en raak aan iemand' was? Blykbaar het kubermisdadigers dit letterlik in April vanjaar geneem toe hulle die oproeplogdata vir meer as 'n miljoen AT&T-kliënte bereik en aangeraak het.

Op 19 April het AT&T verneem dat indringers beweer het dat hulle toegang tot sy data het. Die indringers het toe AT&T-logdata gesteel wat verband hou met draadlose oproepe en tekste tussen 1 Mei en 31 Oktober 2022. Die loginligting was metadata, wat telefoonnommers bevat wat draadlose gebruikers gebel het, hoeveel oproepe hulle gemaak het en hoe lank oproepe in totaal geduur het. Dit het ook selfoon-identifikasienommers vir sommige van daardie oproepe ingesluit.

Die gesteelde data het nie PII soos oproep- of teksinhoud, sosiale sekerheidsnommers of geboortedatums ingesluit nie. Soos AT&T egter in sy SEC liassering vir die voorval, "Alhoewel die data nie klante se name insluit nie, is daar dikwels maniere om die naam te vind wat met 'n spesifieke telefoonnommer geassosieer word, deur gebruik te maak van publiek beskikbare aanlynhulpmiddels." Die insluiting van selfoon-ID's maak dit ook vir mense moontlik om hierdie datastel te gebruik om die ligging van sommige van hierdie oproepe te ontleed – en dus die nommers se eienaars.

Ses maande se oproeplogboeke bevat 'n groot hoeveelheid data. AT&T het verklaar dat hy 110 miljoen kliënte sal inlig wie se oproepdata by die data-oortreding betrokke was. In sy indiening het hy gesê dat hy nie glo dat die data publiek beskikbaar gestel is nie.

AT&T het die SEC-aansoek vir die oortreding op 12 Julie ingedien, ver buite die vier-dag-venster. Dit het die indiening vertraag in ooreenstemming met die departement van justisie se versoek, aangesien die DOJ besluit het dat die indiening van die verslag binne die normale tydperk van vier dae wat deur die SEC versoek is, potensieel gevaarlik sou wees. Dit maak sin, aangesien die oortreding blykbaar voortgeduur het nadat die telekommunikasiemaatskappy die eerste keer van die bedreigingsakteurs se inbraak verneem het. Die oproeplogdata is gesteel dae nadat AT&T gesê het hy het van die inbraak gehoor.

Die oortreding het glad nie in AT&T se stelsels plaasgevind nie. In plaas daarvan het dit gebeur deur 'n derdeparty-wolkverskaffer wat die maatskappy in die pers geïdentifiseer het as die wolkgebaseerde datapakhuismaatskappy Snowflake. Dit was nie die enigste sulke data-diefstal van Snowflake nie; volgens Mandiant is hul data van die maatskappy se bergingstelsels van 165 kliënte gesteel. Dit blyk egter nie 'n koderingskwesbaarheid in Snowflake se sagteware te wees nie. Die klante wat slagoffers was van hierdie diefstalle, wat handelsmerke soos Ticketmaster ingesluit het, het een ding in gemeen gehad: hul rekeningbewyse is deur wanware gesteel, en hulle het nie multi-faktor-verifikasie gebruik nie.

Wat kan ons leer uit die AT&T/Snowflake Breach?

Ons kan almal leer uit die foute van kliënte wat deur die Snowball-oortreding geraak word, sê kenners. "Organisasies moet 'n duidelike begrip hê van die gedeelde sekuriteitsverantwoordelikheidsmodel wat met verskafferverhoudings gepaardgaan en robuuste identiteits- en toegangsbestuurkontroles op wolkplatforms implementeer," sê Milda Petraityte, 'n navorser by die kuberveiligheidskonsultasiemaatskappy S-RM.

Snowflake het 'n bietjie aksie van sy eie geneem en 'n nuwe vermoë vir kliënte se administrateurs bekendgestel verpligte MFA afdwing op 9 Julie, amper drie maande nadat die rits ongemagtigde aanmeldings by sy stelsels begin het. Dit is 'n begin, maar 'n mens wonder hoekom hierdie kenmerk nie reeds in plek was nie - of waarom, in die gees van ware kuberveiligheid, daar enige ander bedryfsmodel as verpligte MFA sou wees.

Maatskappye is steeds ver agter in die gebruik van MFA. Volgens CompTIA se 2024-staat van kuberveiligheid berig, sluit net 41% van maatskappye die gebruik van MFA in hul kuberveiligheidstrategieë in. Slegs 38% gebruik een of ander vorm van wolkwerkladingsbestuur.

Die ander kwessie wat maatskappye in die moeilikheid laat beland het, was die versuim om die geloofsdiefstal op te spoor en te versag. "Verskeie maatskappye was nie bewus daarvan dat hulle gekompromitteer is met inligtingstelers nie, so hul geloofsbriewe was op die donker web beskikbaar," wys Stephanie Schneider, 'n kuberbedreiging-intelligensie-ontleder by die wagwoordbestuurdermaatskappy LastPass, uit. Opsporing is 'n kritieke stap in enige voorvalreaksieplan. Omdat maatskappye versuim het om die wanware-infeksie raak te sien wat gelei het tot diefstal van geloofsbriewe en toe nie ekstra toegangsbeskerming geïmplementeer het nie, het hulle hulself kwesbaar gelaat.

Maatskappye kan leer oor veilige praktyke soos hierdie in algemene kuberveiligheidstandaarde. Byvoorbeeld, ISO 270001 noem uitdruklik veilige verifikasiemetodes soos eksterne toestelverifikasie in sy Bylae A 8.5 dokumentasie. Dit noem ook maatreëls soos om na te gaan vir en voorkoming van die gebruik van ongemagtigde sagteware, verdediging-in-diepte wanware-beskerming oor verskeie infrastruktuurpunte, en opleiding van werknemers om bewus te wees van sosiale ingenieurswese en die installering van kwaadwillige sagteware in Beheer 8.7—Beskerming teen wanware.

Die doeltreffende implementering van sulke maatreëls kon gehelp het om AT&T se Snowflake-ramp te voorkom, saam met baie ander maatskappye se oortredings via die wolk-gebaseerde diens. Die telko het egter ander kuberveiligheidsvoorvalle gehad om mee te kampe.

In Maart vanjaar het AT&T verklaar dat PII van 73 miljoen kliënte op die donker web rondsweef, en dit het nie geweet waar die inligting vandaan gekom het nie. Daardie data, wat na vore gekom het uit 'n kompromie in 2021, was genoeg om 'n klas-aksie regsgeding van gefrustreerde kliënte.

In Januarie 2023 het die telco berig dat PII van nege miljoen klanterekeninge gekompromitteer is deur een van sy derdeparty-bemarkingsvennote. Dit beklemtoon die behoefte aan robuuste verskafferbeoordelings en deurlopende derdeparty-sekuriteitsoudits om nie net die maatskappy se eie netwerk nie, maar sy hele data-ekosisteem te help beveilig.

Die bestuur van daardie soort ekosisteem is 'n uitdaging vir 'n maatskappy so uitgestrek soos AT&T, veral gegewe dat dit ook het kliënte se geoliggingdata aan derde partye verkoop sonder hul toestemming. Dit is ook 'n teken dat ons meer regulatoriese optrede nodig het om hierdie maatskappye te dwing om robuuste sekuriteits- en privaatheidskontroles te implementeer.

skrywer

Danny Bradbury

Danny Bradbury is 'n gedrukte joernalis wat spesialiseer in tegnologie sedert 1989 en 'n vryskutskrywer sedert 1994. Hy het vir nasionale publikasies aan beide kante van die Atlantiese Oseaan geskryf en het toekennings gewen vir sy ondersoekende kuberveiligheidsjoernalistiekwerk.

Sien alle plasings deur Danny Bradbury

Verwante poste

SOC 2 is hier! Versterk jou sekuriteit en bou klantevertroue met ons kragtige voldoeningsoplossing vandag!