1 poin oleh GN⁺ 2024-07-13 | 1 komentar | Bagikan ke WhatsApp
  • Kebocoran data baru AT&T memengaruhi catatan hubungan panggilan dan SMS milik hampir semua pelanggan, dan pemberitahuan akan dikirim kepada sekitar 110 juta orang
  • Data yang dicuri terutama berisi metadata panggilan dan SMS dari 1 Mei 2022 hingga 31 Oktober 2022, dan untuk sebagian pelanggan juga mencakup catatan 2 Januari 2023
  • Isi pesan maupun waktu dan tanggal yang tepat tidak termasuk, tetapi siapa menghubungi siapa, volume panggilan, durasi panggilan, dan beberapa ID situs seluler terekspos
  • Insiden ini terpisah dari insiden keamanan AT&T pada bulan Maret, dan terhubung dengan gelombang pencurian data terbaru yang menargetkan akun pelanggan Snowflake
  • Tidak digunakannya autentikasi multifaktor dalam perlindungan akun Snowflake menjadi sorotan, dan Mandiant mengonfirmasi pencurian data dalam jumlah besar dari sekitar 165 akun pelanggan

Cakupan catatan telepon yang bocor dari AT&T

  • AT&T berencana memberi tahu sekitar 110 juta orang terkait insiden ini
  • Data yang dicuri mencakup nomor telepon serta catatan panggilan dan SMS pelanggan ponsel dan telepon rumah AT&T
    • Periode yang terdampak adalah 6 bulan, dari 1 Mei 2022 hingga 31 Oktober 2022
    • Untuk sebagian pelanggan, catatan yang lebih baru dari 2 Januari 2023 juga termasuk, tetapi jumlah pelanggan tersebut tidak diungkapkan
  • Catatan panggilan pelanggan operator lain yang menggunakan jaringan AT&T juga termasuk dalam data yang bocor
  • Data yang bocor tidak mencakup isi panggilan atau pesan teks
    • Dapat diketahui nomor mana yang menelepon atau bertukar pesan dengan nomor AT&T tertentu
    • Jumlah total panggilan dan SMS pelanggan serta durasi panggilan juga termasuk
    • Waktu atau tanggal panggilan dan pesan tidak termasuk
  • Sebagian catatan mencakup ID situs seluler yang terkait dengan panggilan telepon atau pesan teks
    • Dari informasi ini, lokasi perkiraan tempat panggilan dilakukan atau pesan dikirim dapat diketahui
  • AT&T mengungkap insiden ini melalui halaman informasi pelanggan dan dokumen pengajuan ke regulator

Pencurian akun Snowflake dan perkembangan penyelidikan

  • AT&T mengetahui kebocoran data ini pada 19 April dan menegaskan bahwa insiden ini tidak terkait dengan insiden keamanan sebelumnya yang diungkap pada bulan Maret
  • Catatan pelanggan terbaru dipastikan dicuri dari Snowflake dalam gelombang pencurian data terbaru yang menargetkan pelanggan Snowflake
    • Snowflake adalah layanan yang memungkinkan pelanggan perusahaan menganalisis data pelanggan dalam jumlah besar di cloud
    • Alasan AT&T menyimpan data pelanggan di Snowflake tidak diungkapkan
  • Dalam beberapa minggu terakhir, Ticketmaster dan QuoteWizard, anak perusahaan LendingTree, juga mengonfirmasi bahwa data mereka dicuri dari Snowflake
  • Snowflake menilai tanggung jawab atas pencurian data berada pada pelanggan yang tidak menggunakan autentikasi multifaktor untuk melindungi akun
    • Snowflake tidak mewajibkan atau memaksa pelanggan menggunakan fitur keamanan tersebut
    • Mandiant, yang dipanggil Snowflake untuk membantu pemberitahuan kepada pelanggan, mengonfirmasi bahwa sejumlah besar data dicuri dari sekitar 165 akun pelanggan Snowflake
  • Mandiant mengaitkan pelanggaran ini dengan kelompok kejahatan siber yang belum diklasifikasikan dan dilacak sebagai UNC5537
    • Para peretas tersebut dinilai bermotif finansial
    • Anggotanya berada di Amerika Utara, dan setidaknya 1 orang berada di Turki
  • Sebagian data korban perusahaan dari pencurian akun Snowflake telah diposting di forum kejahatan siber yang dikenal, tetapi AT&T mengatakan mereka tidak melihat data perusahaannya saat ini tersedia secara publik
  • AT&T bekerja sama dengan aparat penegak hukum untuk menangkap pelaku kejahatan siber terkait, dan setidaknya 1 orang telah ditangkap
    • Orang yang ditangkap bukan karyawan AT&T
    • FBI tidak berkomentar mengenai penangkapan tersebut
  • FBI mengonfirmasi bahwa setelah AT&T melaporkan pelanggaran tersebut, AT&T, FBI, dan Departemen Kehakiman sepakat dua kali untuk menunda pemberitahuan kepada pelanggan dan publik
    • Alasannya adalah potensi risiko terhadap keamanan nasional dan keselamatan publik
    • Ketiga lembaga itu berbagi informasi ancaman selama masa penundaan untuk mendukung penyelidikan FBI dan respons insiden AT&T
  • Insiden ini merupakan insiden keamanan kedua yang diungkap AT&T tahun ini
    • Sebelumnya, setelah cache informasi akun pelanggan diposting di forum kejahatan siber, AT&T harus mereset kata sandi akun jutaan pelanggan
    • Saat itu cache tersebut berisi passcode terenkripsi untuk mengakses akun pelanggan AT&T, dan peneliti keamanan menilai passcode itu dapat didekripsi dengan mudah

1 komentar

 
GN⁺ 2024-07-13
Komentar Hacker News
  • Pelanggan AT&T berjumlah 110 juta orang, jadi jika karena insiden ini setiap pelanggan harus menghabiskan 1 menit ekstra untuk mengelola akunnya, total waktu yang hilang mencapai lebih dari 209 tahun
    Undang-undang terkait kebocoran data seharusnya jauh lebih keras. Jika hampir tidak ada konsekuensi nyata dari sebuah kebocoran, perusahaan akan hanya berinvestasi seminimal mungkin pada keamanan data
    Perlu ada tuntutan pidana dengan menembus perlindungan badan hukum terhadap orang-orang yang melalui kelalaian memungkinkan kejadian seperti ini, atau denda harus dibuat cukup besar sehingga eksekutif dan pemegang saham benar-benar merasakan dampaknya

    • Mengejutkan bahwa hampir tidak ada yang menyinggung bahwa perusahaan seperti AT&T tidak mengumpulkan data seperti itu hanya untuk bersenang-senang. Biayanya besar, tetapi mereka melakukannya karena diwajibkan secara hukum oleh pemerintah
      Semua orang menyalahkan perusahaan, tetapi entah pernah terpikir atau tidak bahwa aneh juga jika pemerintah memiliki catatan semua aktivitas panggilanku. Dulu hal seperti ini akan disebut negara pengawasan distopia
    • Kalau benar-benar ingin memperbaiki sesuatu, satu-satunya cara adalah memukul pemegang saham. Sampai orang-orang kaya kehilangan uang dan para eksekutif C-level serta dewan direksi dipaksa menghadapi tanggung jawab, mereka akan terus saling menepuk punggung sambil mengambil bonus
    • Pihak yang “lalai hingga memungkinkan hal ini terjadi” kemungkinan besar justru staf pelaksana biasa. Hati-hati dengan apa yang diinginkan
      Aku tidak mau memikul tanggung jawab hukum hanya karena software buatanku ditembus akibat kerentanan yang tidak kuketahui
      Langkah awal yang masuk akal mungkin adalah membuat standar, audit, dan sertifikasi pihak ketiga untuk keamanan data, lalu memberi tahu konsumen yang peduli pada privasi dan keamanan tentang apa yang dilakukan perusahaan. Jika konsumen melihat nilainya, mereka akan lebih memilih perusahaan tersebut, dan perusahaan lain bisa ikut mengikuti
    • Undang-undang yang mungkin benar-benar mencegah kebocoran seperti ini adalah hukum yang menjadikan penjualan data pelanggan oleh operator telekomunikasi sebagai tindakan ilegal. Alasan AT&T menaruh semua data itu di Snowflake adalah untuk menjual lokasi pelanggan dan jejaring relasi sosial mereka kepada pemasar
      Sulit dipercaya bahwa ini masih belum ilegal
    • Bayangkan dunia di mana jika mengalami kebocoran data, perusahaan selama 10 tahun tidak boleh mengumpulkan, menyimpan, apalagi menjual jenis data tersebut, dan aturan ini mengesampingkan undang-undang yang mewajibkan pengumpulan data
      Dalam semalam, AT&T akan menjadi hampir mirip layanan end-to-end encrypted
      Jalur komunikasinya sendiri memang tidak terenkripsi, jadi NSA masih bisa menyadap, tetapi setidaknya di pusat data AT&T bisa jadi tidak ada penyimpanan yang dapat diubah selain boot drive, antrean pesan SMS, serta pemetaan SIM yang diotorisasi dan nomor telepon
      Aku tidak mengerti kenapa di zaman sekarang mereka masih terus menyimpan riwayat panggilan. Bahkan untuk tujuan awalnya, yaitu penagihan, itu pun sudah tidak diperlukan lagi
  • Jika ini adalah “kebocoran data yang masih berlangsung yang melibatkan lebih dari 160 pelanggan penyedia data cloud Snowflake”, jadi aku penasaran sebenarnya untuk apa Snowflake biasanya memegang semua data AT&T itu. Apakah didistribusikan ulang ke “mitra pemasaran”? Kelihatannya begitu
    Pernyataan misi di situs Snowflake berbunyi, “Misi kami adalah meruntuhkan silo data, mengatasi kompleksitas, dan memungkinkan kolaborasi data yang aman antara publisher, pengiklan, dan teknologi inti yang mendukungnya”
    Jadi ini terlihat bukan seperti sistem operasional AT&T yang disusupi, melainkan data yang memang sudah dijual ke pemasar diambil oleh pihak yang tidak berwenang. Aku penasaran apakah pemahamanku ini benar

    • Ini mungkin tidak jauh berbeda dari ketika perusahaan seperti Salesforce mengalami kebocoran dan pelanggan-pelanggan besarnya ikut terdampak. Perusahaan besar memakai layanan SaaS untuk banyak pekerjaan back-office mereka
    • Snowflake pada dasarnya adalah database cloud untuk OLAP. Akun AT&T dilindungi dengan kata sandi yang buruk dan tanpa autentikasi multi-faktor
    • Mungkin saja AT&T menggunakan Snowflake untuk analitik internal
    • Kalau begitu, kemungkinan besar yang paling membuat AT&T marah adalah mereka tidak sempat dibayar untuk data ini
  • Melihat kebocoran kali ini dan sifat data yang ada di data lake Snowflake, dari sudut pandang pelanggan aku rasa kejadian ini bukan sesuatu yang akan dianggap sebagai “kebocoran”. Kebocoran yang sesungguhnya tampaknya sudah terjadi di tahap hulu
    Dari sifat data di database dan platform tempatnya disimpan, sangat besar kemungkinan data ini memang dibuat bukan untuk penggunaan internal AT&T, melainkan agar dapat dipakai secara eksternal oleh pihak ketiga seperti pengiklan atau mitra analisis konsumen, atau oleh lembaga pemerintah
    Artinya, jika dataku ada di penyimpanan ini, maka sejak data itu masuk ke sana, bagiku itu sudah merupakan sebuah “kebocoran”. Masalahnya di sini tampaknya adalah bahwa dari sudut pandang AT&T dan FBI, data itu bocor ke orang yang salah

    • Masalah dengan pengumpulan data secara serampangan dan database ala Snowflake adalah bahwa begitu kita memasukkan informasi pribadi apa pun ke internet, informasi itu tidak lagi aman. Jika diberi cukup waktu, semua informasi itu akan “dibagikan” dan digunakan untuk kepentingan finansial maupun politik pihak ketiga
      Entah itu AT&T, bank, atau pemerintah, tidak ada situasi di mana kita bisa berharap informasi sensitif akan tetap privat
      Dulu saat mengenalkan internet kepada anak-anak, ini hampir diajarkan sebagai aturan mutlak, dan mengejutkan melihat betapa banyak yang berubah dalam 20 tahun
    • Aku penasaran berapa kali Snowflake, yang tampaknya lebih sibuk menelan dan menjual data ketimbang memverifikasinya, pernah secara terbuka mentransmisikan materi eksploitasi seksual anak milik pelanggan AT&T
  • Harga saham AT&T pagi ini sudah pulih cukup banyak dari penurunan awal -2,6%, jadi pasar tampaknya melihat AT&T kebal. Sementara itu Snowflake turun -3,9%, dan mereka punya banyak pelanggan selain AT&T
    https://www.marketwatch.com/investing/stock/T
    https://www.marketwatch.com/investing/stock/SNOW

    • Aku tidak pernah mendapat kesan bahwa pasar benar-benar peduli pada kebocoran data. Kelihatannya juga jarang ada perusahaan yang benar-benar menanggung tanggung jawab finansial atas kebocoran data
      Jika ada dampak yang terlihat pada harga saham, menurutku kemungkinan besar itu tidak terkait dengan berita ini
    • Ini mirip dengan menaruh data di Salesforce lalu Salesforce mengalami kebocoran. Mungkin ada tanggung jawab karena memilih vendor yang salah, tetapi hilangnya kepercayaan yang nyata akan menimpa Salesforce
      Dalam kasus ini, menurut artikel, penyebab kebocoran Ticketmaster dan Lending Tree juga adalah Snowflake, jadi saat ini memang masuk akal jika kepercayaan terhadap Snowflake turun tajam
    • Biaya bukan masalah besar, dan pelanggan juga tidak akan pindah ke tempat lain
      Hasil class action kemungkinan akan berubah menjadi masing-masing orang menerima 2 dolar atau kupon uji coba gratis layanan nada sambung era awal 2000-an, yang pada akhirnya justru hanya menambah pendapatan berulang
  • Di Eropa, penyimpanan catatan telepon secara menyeluruh melebihi cakupan yang diperlukan untuk operasional kemungkinan ilegal di banyak negara, dan secara umum juga tidak sejalan dengan Konvensi Eropa tentang Hak Asasi Manusia kecuali ada ancaman nyata terhadap keamanan nasional dan langkah sementara di bawah pengawasan pengadilan[1]
    Sejak awal tidak ada alasan bagi penyedia layanan untuk menyimpan hal seperti ini, dan juga tidak sulit untuk memperbaikinya lewat legislasi. Cukup jadikan penyimpanannya sendiri ilegal
    [1] https://curia.europa.eu/juris/document/document.jsf?text=&do...

    • Justru banyak negara Eropa memiliki periode retensi data wajib, dan dalam banyak kasus sama dengan atau lebih lama daripada catatan 6 bulan yang disebut ikut bocor kali ini
      Jerman relatif singkat, yaitu 10 minggu, tetapi tetap saja catatan seperti itu harus disimpan
      Pernyataan bahwa pengumpulan catatan semacam ini ilegal di Eropa jelas salah, dan lebih jauh lagi, pengumpulan catatan biasanya memang diwajibkan untuk jangka waktu yang ditentukan masing-masing negara
      Catatan telepon diperlukan untuk penagihan. Karena pelanggan sering menggugat tagihan mereka, catatan itu juga perlu disimpan lebih lama untuk sementara waktu
    • Ada banyak alasan untuk menyimpan data. Hanya saja, kebanyakan bertentangan dengan cara orang merasa perusahaan seharusnya beroperasi
      Sayangnya, AS tampaknya lebih menghargai “inovasi yang disruptif” daripada perlindungan konsumen, sehingga perlindungan hukum atas data tidak populer di Kongres
    • Saya kira pemerintah tidak diizinkan memerintahkan perusahaan telekomunikasi untuk menyimpan semua catatan telepon seperti ini. Namun tampaknya mereka tidak bisa mencegah operator melakukannya atas inisiatif sendiri
      Rasanya itu malah lebih mungkin terkena pembatasan GDPR
    • Sepertinya kalian tinggal di tempat yang pemerintahnya untuk rakyat, bukan pemerintah yang untuk dirinya sendiri
    • Apa yang diinginkan NSA, akan diambil NSA. Jika sistem bekerja sebagaimana dimaksud, tidak perlu legislasi tambahan
  • Konsumen sudah terlalu kebal terhadap kebocoran data, sampai-sampai kemarahan atas kejadian seperti ini hampir tidak muncul lagi. Tanpa kemarahan konsumen, perusahaan nyaris tidak punya insentif untuk bekerja lebih keras mencegah kebocoran data

    • Mulai terasa seolah privasi data sudah tidak benar-benar ada lagi. Saya bahkan tidak tahu kenapa para administrator database pelanggan besar masih repot-repot memasang kata sandi belakangan ini
    • Sejak insiden Equifax, sepertinya tidak ada yang peduli lagi. Supaya dianggap serius, mungkin perlu ada kebocoran B2B besar yang membongkar data inti bisnis, bukan sekadar informasi umum seperti nama, alamat, dan nomor telepon
    • AT&T adalah perusahaan publik. Perusahaan publik harus didenda setimpal dengan status itu
      Jika mulai dijatuhkan denda miliaran dolar untuk kebocoran seperti ini, perusahaan akan mendadak mau berinvestasi pada keamanan
      Namun, dengan putusan Mahkamah Agung baru-baru ini yang melemahkan kekuatan lembaga pemerintah, sepertinya itu tidak akan terjadi
      Sekarang kita tampaknya harus bergantung pada pengadilan perdata, yaitu class action, untuk menjatuhkan denda
    • Banyak perusahaan tampaknya berpikir masalah ini bisa diselesaikan dengan membanjiri tim keamanan siber dengan uang. Padahal tim keamanan siber sering kali tidak efektif
    • Saya tidak tahu kenapa, bahkan saat kita marah, kita tetap tidak melakukan apa-apa
  • Saya membatalkan akun AT&T lebih dari 10 tahun lalu, tetapi pada peretasan sebelumnya bulan Maret tahun ini mereka masih menyimpan alamat lama saya, nama lengkap, dan nomor jaminan sosial saya
    Sungguh tidak masuk akal bahwa tidak ada hukum yang layak untuk benar-benar menghukum organisasi yang inkompeten

  • Awal tahun ini, nomor jaminan sosial saya juga muncul di dark web karena kebocoran dari AT&T atau vendornya. Pemantauan selama 1 tahun tidak cukup. Harus seumur hidup
    Keamanan bukan prioritas. Tidak ada insentif nyata untuk mengubah keadaan sekarang. Perusahaan seperti ini harus dipaksa menanggung biaya pemantauan tanpa batas waktu

    • Saya tidak mengerti kenapa di AS nomor jaminan sosial diperlakukan seperti rahasia. Itu seharusnya “nama pengguna”, bukan “kata sandi”
      Nomor identitas nasional di negara kami bisa dihitung dari tanggal lahir, nomor urut kelahiran pada hari itu, dan angka checksum, dan jika Anda menjalankan usaha sekecil apa pun, nomor pajak pribadi Anda harus dicantumkan pada semua kuitansi atau dokumen pembelian bisnis
      Mengetahui bahwa nomor ID bayi laki-laki pertama yang lahir hari ini adalah 120702450001X tidak membantu untuk berbuat jahat. Saya tidak menghitung checksumnya karena merepotkan, tetapi algoritmenya bersifat publik
    • Dalam beberapa kasus, nomor jaminan sosial mungkin justru masalah paling kecil dari informasi yang bocor
      Perlu dipikirkan bagaimana nasib orang-orang yang menelepon hotline pencegahan bunuh diri, klinik aborsi, layanan pelunasan pinjaman, dan sebagainya
      Jika ada nomor telepon, hal-hal seperti itu bisa diketahui
    • Saat saya kuliah pada akhir 1980-an, nomor jaminan sosial saya otomatis dipakai sebagai nomor kartu mahasiswa. Saat saya membuka rekening bank pertama pada 1990, nomor jaminan sosial saya dipakai sebagai nomor rekening
    • Sistem Jaminan Sosial sendiri tidak berkelanjutan, jadi kalau gagal dalam 10 tahun ke depan, itu tidak akan jadi masalah lagi
  • Menurut artikel TechCrunch, pengenal menara seluler juga termasuk, yang berarti informasi lokasi perkiraan juga ikut tercakup
    https://techcrunch.com/2024/07/12/att-phone-records-stolen-d...

  • Jadi saya tidak tahu di mana kompensasi saya. Tentu saya tahu tidak ada upaya pemulihan
    Inilah yang terjadi ketika tidak ada yang dimintai pertanggungjawaban untuk praktik aman seperti mengaktifkan autentikasi multi-faktor pada repositori data yang berisi informasi pribadi pelanggan dalam jumlah besar
    Mereka cuma melaporkannya lalu lanjut saja, bahkan tanpa permintaan maaf. Paling banter, “yah, para penjahat siber sialan itu”

    • Jika Anda pergi ke pengadilan untuk menuntut kompensasi, kemungkinan besar Anda akan diminta membuktikan kerugian. Bisakah Anda membuktikannya?
    • Saya pernah beberapa kali menerima cek karena hal seperti ini. Biasanya akhirnya Anda mengisi formulir klaim, menunggu sekitar 5 tahun, lalu suatu hari cek bernilai sangat kecil datang lewat pos