- Kebocoran data baru AT&T memengaruhi catatan hubungan panggilan dan SMS milik hampir semua pelanggan, dan pemberitahuan akan dikirim kepada sekitar 110 juta orang
- Data yang dicuri terutama berisi metadata panggilan dan SMS dari 1 Mei 2022 hingga 31 Oktober 2022, dan untuk sebagian pelanggan juga mencakup catatan 2 Januari 2023
- Isi pesan maupun waktu dan tanggal yang tepat tidak termasuk, tetapi siapa menghubungi siapa, volume panggilan, durasi panggilan, dan beberapa ID situs seluler terekspos
- Insiden ini terpisah dari insiden keamanan AT&T pada bulan Maret, dan terhubung dengan gelombang pencurian data terbaru yang menargetkan akun pelanggan Snowflake
- Tidak digunakannya autentikasi multifaktor dalam perlindungan akun Snowflake menjadi sorotan, dan Mandiant mengonfirmasi pencurian data dalam jumlah besar dari sekitar 165 akun pelanggan
Cakupan catatan telepon yang bocor dari AT&T
- AT&T berencana memberi tahu sekitar 110 juta orang terkait insiden ini
- Data yang dicuri mencakup nomor telepon serta catatan panggilan dan SMS pelanggan ponsel dan telepon rumah AT&T
- Periode yang terdampak adalah 6 bulan, dari 1 Mei 2022 hingga 31 Oktober 2022
- Untuk sebagian pelanggan, catatan yang lebih baru dari 2 Januari 2023 juga termasuk, tetapi jumlah pelanggan tersebut tidak diungkapkan
- Catatan panggilan pelanggan operator lain yang menggunakan jaringan AT&T juga termasuk dalam data yang bocor
- Data yang bocor tidak mencakup isi panggilan atau pesan teks
- Dapat diketahui nomor mana yang menelepon atau bertukar pesan dengan nomor AT&T tertentu
- Jumlah total panggilan dan SMS pelanggan serta durasi panggilan juga termasuk
- Waktu atau tanggal panggilan dan pesan tidak termasuk
- Sebagian catatan mencakup ID situs seluler yang terkait dengan panggilan telepon atau pesan teks
- Dari informasi ini, lokasi perkiraan tempat panggilan dilakukan atau pesan dikirim dapat diketahui
- AT&T mengungkap insiden ini melalui halaman informasi pelanggan dan dokumen pengajuan ke regulator
Pencurian akun Snowflake dan perkembangan penyelidikan
- AT&T mengetahui kebocoran data ini pada 19 April dan menegaskan bahwa insiden ini tidak terkait dengan insiden keamanan sebelumnya yang diungkap pada bulan Maret
- Catatan pelanggan terbaru dipastikan dicuri dari Snowflake dalam gelombang pencurian data terbaru yang menargetkan pelanggan Snowflake
- Snowflake adalah layanan yang memungkinkan pelanggan perusahaan menganalisis data pelanggan dalam jumlah besar di cloud
- Alasan AT&T menyimpan data pelanggan di Snowflake tidak diungkapkan
- Dalam beberapa minggu terakhir, Ticketmaster dan QuoteWizard, anak perusahaan LendingTree, juga mengonfirmasi bahwa data mereka dicuri dari Snowflake
- Snowflake menilai tanggung jawab atas pencurian data berada pada pelanggan yang tidak menggunakan autentikasi multifaktor untuk melindungi akun
- Snowflake tidak mewajibkan atau memaksa pelanggan menggunakan fitur keamanan tersebut
- Mandiant, yang dipanggil Snowflake untuk membantu pemberitahuan kepada pelanggan, mengonfirmasi bahwa sejumlah besar data dicuri dari sekitar 165 akun pelanggan Snowflake
- Mandiant mengaitkan pelanggaran ini dengan kelompok kejahatan siber yang belum diklasifikasikan dan dilacak sebagai UNC5537
- Para peretas tersebut dinilai bermotif finansial
- Anggotanya berada di Amerika Utara, dan setidaknya 1 orang berada di Turki
- Sebagian data korban perusahaan dari pencurian akun Snowflake telah diposting di forum kejahatan siber yang dikenal, tetapi AT&T mengatakan mereka tidak melihat data perusahaannya saat ini tersedia secara publik
- AT&T bekerja sama dengan aparat penegak hukum untuk menangkap pelaku kejahatan siber terkait, dan setidaknya 1 orang telah ditangkap
- Orang yang ditangkap bukan karyawan AT&T
- FBI tidak berkomentar mengenai penangkapan tersebut
- FBI mengonfirmasi bahwa setelah AT&T melaporkan pelanggaran tersebut, AT&T, FBI, dan Departemen Kehakiman sepakat dua kali untuk menunda pemberitahuan kepada pelanggan dan publik
- Alasannya adalah potensi risiko terhadap keamanan nasional dan keselamatan publik
- Ketiga lembaga itu berbagi informasi ancaman selama masa penundaan untuk mendukung penyelidikan FBI dan respons insiden AT&T
- Insiden ini merupakan insiden keamanan kedua yang diungkap AT&T tahun ini
- Sebelumnya, setelah cache informasi akun pelanggan diposting di forum kejahatan siber, AT&T harus mereset kata sandi akun jutaan pelanggan
- Saat itu cache tersebut berisi passcode terenkripsi untuk mengakses akun pelanggan AT&T, dan peneliti keamanan menilai passcode itu dapat didekripsi dengan mudah
1 komentar
Komentar Hacker News
Pelanggan AT&T berjumlah 110 juta orang, jadi jika karena insiden ini setiap pelanggan harus menghabiskan 1 menit ekstra untuk mengelola akunnya, total waktu yang hilang mencapai lebih dari 209 tahun
Undang-undang terkait kebocoran data seharusnya jauh lebih keras. Jika hampir tidak ada konsekuensi nyata dari sebuah kebocoran, perusahaan akan hanya berinvestasi seminimal mungkin pada keamanan data
Perlu ada tuntutan pidana dengan menembus perlindungan badan hukum terhadap orang-orang yang melalui kelalaian memungkinkan kejadian seperti ini, atau denda harus dibuat cukup besar sehingga eksekutif dan pemegang saham benar-benar merasakan dampaknya
Semua orang menyalahkan perusahaan, tetapi entah pernah terpikir atau tidak bahwa aneh juga jika pemerintah memiliki catatan semua aktivitas panggilanku. Dulu hal seperti ini akan disebut negara pengawasan distopia
Aku tidak mau memikul tanggung jawab hukum hanya karena software buatanku ditembus akibat kerentanan yang tidak kuketahui
Langkah awal yang masuk akal mungkin adalah membuat standar, audit, dan sertifikasi pihak ketiga untuk keamanan data, lalu memberi tahu konsumen yang peduli pada privasi dan keamanan tentang apa yang dilakukan perusahaan. Jika konsumen melihat nilainya, mereka akan lebih memilih perusahaan tersebut, dan perusahaan lain bisa ikut mengikuti
Sulit dipercaya bahwa ini masih belum ilegal
Dalam semalam, AT&T akan menjadi hampir mirip layanan end-to-end encrypted
Jalur komunikasinya sendiri memang tidak terenkripsi, jadi NSA masih bisa menyadap, tetapi setidaknya di pusat data AT&T bisa jadi tidak ada penyimpanan yang dapat diubah selain boot drive, antrean pesan SMS, serta pemetaan SIM yang diotorisasi dan nomor telepon
Aku tidak mengerti kenapa di zaman sekarang mereka masih terus menyimpan riwayat panggilan. Bahkan untuk tujuan awalnya, yaitu penagihan, itu pun sudah tidak diperlukan lagi
Jika ini adalah “kebocoran data yang masih berlangsung yang melibatkan lebih dari 160 pelanggan penyedia data cloud Snowflake”, jadi aku penasaran sebenarnya untuk apa Snowflake biasanya memegang semua data AT&T itu. Apakah didistribusikan ulang ke “mitra pemasaran”? Kelihatannya begitu
Pernyataan misi di situs Snowflake berbunyi, “Misi kami adalah meruntuhkan silo data, mengatasi kompleksitas, dan memungkinkan kolaborasi data yang aman antara publisher, pengiklan, dan teknologi inti yang mendukungnya”
Jadi ini terlihat bukan seperti sistem operasional AT&T yang disusupi, melainkan data yang memang sudah dijual ke pemasar diambil oleh pihak yang tidak berwenang. Aku penasaran apakah pemahamanku ini benar
Melihat kebocoran kali ini dan sifat data yang ada di data lake Snowflake, dari sudut pandang pelanggan aku rasa kejadian ini bukan sesuatu yang akan dianggap sebagai “kebocoran”. Kebocoran yang sesungguhnya tampaknya sudah terjadi di tahap hulu
Dari sifat data di database dan platform tempatnya disimpan, sangat besar kemungkinan data ini memang dibuat bukan untuk penggunaan internal AT&T, melainkan agar dapat dipakai secara eksternal oleh pihak ketiga seperti pengiklan atau mitra analisis konsumen, atau oleh lembaga pemerintah
Artinya, jika dataku ada di penyimpanan ini, maka sejak data itu masuk ke sana, bagiku itu sudah merupakan sebuah “kebocoran”. Masalahnya di sini tampaknya adalah bahwa dari sudut pandang AT&T dan FBI, data itu bocor ke orang yang salah
Entah itu AT&T, bank, atau pemerintah, tidak ada situasi di mana kita bisa berharap informasi sensitif akan tetap privat
Dulu saat mengenalkan internet kepada anak-anak, ini hampir diajarkan sebagai aturan mutlak, dan mengejutkan melihat betapa banyak yang berubah dalam 20 tahun
Harga saham AT&T pagi ini sudah pulih cukup banyak dari penurunan awal -2,6%, jadi pasar tampaknya melihat AT&T kebal. Sementara itu Snowflake turun -3,9%, dan mereka punya banyak pelanggan selain AT&T
https://www.marketwatch.com/investing/stock/T
https://www.marketwatch.com/investing/stock/SNOW
Jika ada dampak yang terlihat pada harga saham, menurutku kemungkinan besar itu tidak terkait dengan berita ini
Dalam kasus ini, menurut artikel, penyebab kebocoran Ticketmaster dan Lending Tree juga adalah Snowflake, jadi saat ini memang masuk akal jika kepercayaan terhadap Snowflake turun tajam
Hasil class action kemungkinan akan berubah menjadi masing-masing orang menerima 2 dolar atau kupon uji coba gratis layanan nada sambung era awal 2000-an, yang pada akhirnya justru hanya menambah pendapatan berulang
Di Eropa, penyimpanan catatan telepon secara menyeluruh melebihi cakupan yang diperlukan untuk operasional kemungkinan ilegal di banyak negara, dan secara umum juga tidak sejalan dengan Konvensi Eropa tentang Hak Asasi Manusia kecuali ada ancaman nyata terhadap keamanan nasional dan langkah sementara di bawah pengawasan pengadilan[1]
Sejak awal tidak ada alasan bagi penyedia layanan untuk menyimpan hal seperti ini, dan juga tidak sulit untuk memperbaikinya lewat legislasi. Cukup jadikan penyimpanannya sendiri ilegal
[1] https://curia.europa.eu/juris/document/document.jsf?text=&do...
Jerman relatif singkat, yaitu 10 minggu, tetapi tetap saja catatan seperti itu harus disimpan
Pernyataan bahwa pengumpulan catatan semacam ini ilegal di Eropa jelas salah, dan lebih jauh lagi, pengumpulan catatan biasanya memang diwajibkan untuk jangka waktu yang ditentukan masing-masing negara
Catatan telepon diperlukan untuk penagihan. Karena pelanggan sering menggugat tagihan mereka, catatan itu juga perlu disimpan lebih lama untuk sementara waktu
Sayangnya, AS tampaknya lebih menghargai “inovasi yang disruptif” daripada perlindungan konsumen, sehingga perlindungan hukum atas data tidak populer di Kongres
Rasanya itu malah lebih mungkin terkena pembatasan GDPR
Konsumen sudah terlalu kebal terhadap kebocoran data, sampai-sampai kemarahan atas kejadian seperti ini hampir tidak muncul lagi. Tanpa kemarahan konsumen, perusahaan nyaris tidak punya insentif untuk bekerja lebih keras mencegah kebocoran data
Jika mulai dijatuhkan denda miliaran dolar untuk kebocoran seperti ini, perusahaan akan mendadak mau berinvestasi pada keamanan
Namun, dengan putusan Mahkamah Agung baru-baru ini yang melemahkan kekuatan lembaga pemerintah, sepertinya itu tidak akan terjadi
Sekarang kita tampaknya harus bergantung pada pengadilan perdata, yaitu class action, untuk menjatuhkan denda
Saya membatalkan akun AT&T lebih dari 10 tahun lalu, tetapi pada peretasan sebelumnya bulan Maret tahun ini mereka masih menyimpan alamat lama saya, nama lengkap, dan nomor jaminan sosial saya
Sungguh tidak masuk akal bahwa tidak ada hukum yang layak untuk benar-benar menghukum organisasi yang inkompeten
Awal tahun ini, nomor jaminan sosial saya juga muncul di dark web karena kebocoran dari AT&T atau vendornya. Pemantauan selama 1 tahun tidak cukup. Harus seumur hidup
Keamanan bukan prioritas. Tidak ada insentif nyata untuk mengubah keadaan sekarang. Perusahaan seperti ini harus dipaksa menanggung biaya pemantauan tanpa batas waktu
Nomor identitas nasional di negara kami bisa dihitung dari tanggal lahir, nomor urut kelahiran pada hari itu, dan angka checksum, dan jika Anda menjalankan usaha sekecil apa pun, nomor pajak pribadi Anda harus dicantumkan pada semua kuitansi atau dokumen pembelian bisnis
Mengetahui bahwa nomor ID bayi laki-laki pertama yang lahir hari ini adalah 120702450001X tidak membantu untuk berbuat jahat. Saya tidak menghitung checksumnya karena merepotkan, tetapi algoritmenya bersifat publik
Perlu dipikirkan bagaimana nasib orang-orang yang menelepon hotline pencegahan bunuh diri, klinik aborsi, layanan pelunasan pinjaman, dan sebagainya
Jika ada nomor telepon, hal-hal seperti itu bisa diketahui
Menurut artikel TechCrunch, pengenal menara seluler juga termasuk, yang berarti informasi lokasi perkiraan juga ikut tercakup
https://techcrunch.com/2024/07/12/att-phone-records-stolen-d...
Jadi saya tidak tahu di mana kompensasi saya. Tentu saya tahu tidak ada upaya pemulihan
Inilah yang terjadi ketika tidak ada yang dimintai pertanggungjawaban untuk praktik aman seperti mengaktifkan autentikasi multi-faktor pada repositori data yang berisi informasi pribadi pelanggan dalam jumlah besar
Mereka cuma melaporkannya lalu lanjut saja, bahkan tanpa permintaan maaf. Paling banter, “yah, para penjahat siber sialan itu”