1 poin oleh GN⁺ 2024-07-13 | 1 komentar | Bagikan ke WhatsApp
  • Catatan interaksi panggilan dan SMS milik sekitar 110 juta orang, yang mencakup hampir semua pelanggan AT&T, bocor; bahkan tanpa isi pesan, hubungan kontak dan sebagian lokasi dapat diperkirakan
  • Penyerang mengakses workspace cloud AT&T di platform cloud pihak ketiga pada April 2024 dan mengunduh file catatan dari 1 Mei 2022 hingga 31 Oktober 2022 serta 2 Januari 2023
  • Data yang bocor tidak mencakup isi panggilan atau SMS, nomor Social Security, tanggal lahir, maupun informasi identitas pribadi lainnya, tetapi mencakup nomor telepon dan sebagian informasi lokasi menara seluler
  • AT&T menunda pengungkapan atas permintaan aparat federal dengan alasan kekhawatiran keamanan nasional dan keselamatan publik, dan FBI mengonfirmasi adanya pembahasan penundaan berdasarkan SEC Rule Item 1.05(c)
  • Insiden ini terkait dengan pelanggaran yang melibatkan Snowflake, dan praktik melindungi data pelanggan dalam skala besar hanya dengan nama pengguna dan kata sandi serta tidak adanya autentikasi multifaktor tetap menjadi risiko utama

Kebocoran catatan AT&T yang berdampak pada hampir semua pelanggan

  • AT&T Corp. mengungkapkan bahwa pelanggaran data baru telah mengekspos catatan panggilan telepon dan pesan teks milik sekitar 110 juta orang
  • Cakupan korban mencakup hampir semua pelanggan AT&T, termasuk catatan panggilan dan SMS dari penyedia seluler yang menjual kembali layanan AT&T
  • Sebagian catatan memuat data yang dapat digunakan untuk memperkirakan lokasi saat panggilan dilakukan atau pesan teks dikirim

Data yang bocor dan yang tidak bocor

  • Penyerang mengakses workspace AT&T di platform cloud pihak ketiga pada April 2024
  • File yang diunduh berisi catatan interaksi panggilan dan SMS pelanggan untuk periode berikut
    • 1 Mei 2022 hingga 31 Oktober 2022
    • 2 Januari 2023
  • Item berikut tidak termasuk dalam data yang bocor
    • Isi panggilan
    • Isi pesan teks
    • Nomor Social Security
    • Tanggal lahir
    • Informasi identitas pribadi lainnya
  • Sebagian catatan mencakup informasi lokasi menara komunikasi seluler yang paling dekat dengan pelanggan
    • Informasi ini dapat digunakan untuk memperkirakan lokasi kasar perangkat pelanggan yang mengirim atau menerima SMS maupun melakukan atau menerima panggilan
  • Data tersebut tidak memuat nama pelanggan, tetapi AT&T mengakui bahwa sering kali ada cara untuk menemukan nama yang terkait dengan nomor telepon tertentu melalui alat online publik

Penundaan pengungkapan dan jalannya penyelidikan

  • AT&T mengetahui adanya pelanggaran pada 19 April 2024, tetapi menunda pengungkapan atas permintaan aparat federal
  • Menurut laporan SEC milik AT&T, setidaknya 1 orang telah ditahan oleh pihak berwenang terkait pelanggaran ini
  • FBI mengonfirmasi bahwa mereka meminta AT&T menunda pemberitahuan kepada pelanggan yang terdampak
  • Segera setelah AT&T mengonfirmasi potensi pelanggaran data pelanggan, perusahaan melaporkan insiden tersebut ke FBI, dan AT&T·FBI·DOJ membahas kemungkinan penundaan pengungkapan berdasarkan SEC Rule Item 1.05(c)
  • Alasan penundaan adalah potensi risiko terhadap keamanan nasional dan keselamatan publik

Pelanggaran Snowflake dan ketiadaan autentikasi multifaktor

  • Menurut juru bicara AT&T yang dikutip TechCrunch, pencurian data pelanggan ini merupakan akibat dari pelanggaran data yang sedang berlangsung dan melibatkan lebih dari 160 pelanggan penyedia data cloud Snowflake
  • Para penyerang mengetahui bahwa sejumlah perusahaan besar menyimpan data pelanggan sensitif dalam jumlah besar di server Snowflake dan melindungi akun hanya dengan nama pengguna dan kata sandi
  • Menurut Wired, para peretas di balik pencurian data Snowflake membeli kredensial Snowflake curian dari layanan dark web
    • Kredensial tersebut mencakup nama pengguna, kata sandi, dan token autentikasi yang dicuri oleh malware pencuri informasi
  • Snowflake kini mewajibkan semua pelanggan baru menggunakan autentikasi multifaktor
  • Basis data cloud tempat catatan pelanggan AT&T terekspos juga hanya dilindungi oleh nama pengguna dan kata sandi, dan autentikasi multifaktor tidak diwajibkan

Perusahaan korban Snowflake lainnya dan pelanggaran AT&T sebelumnya

  • Perusahaan lain yang catatan jutaan pelanggannya dicuri dari server Snowflake meliputi
    • Advance Auto Parts
    • Allstate
    • Anheuser-Busch
    • Los Angeles Unified
    • Mitsubishi
    • Neiman Marcus
    • Pure Storage
    • Santander Bank
    • State Farm
    • Ticketmaster
  • Awal tahun ini, AT&T mereset kata sandi jutaan pelanggan setelah mengakui pelanggaran data tahun 2018 yang melibatkan sekitar 7,6 juta pemegang akun saat ini dan sekitar 65,4 juta mantan pemegang akun
  • Data yang terekspos dari Advance Auto Parts mencakup nama lengkap, nomor Social Security, SIM, dan nomor identitas yang diterbitkan pemerintah milik 2,3 juta karyawan atau pelamar kerja, baik lama maupun saat ini

Risiko yang ditinggalkan metadata panggilan dan SMS

  • Arsitek keamanan aplikasi Mark Burnett menilai bahwa kegunaan nyata dari data yang dicuri dalam pelanggaran AT&T ini adalah mengetahui siapa menghubungi siapa dan seberapa sering
  • Burnett paling mengkhawatirkan bahwa yang bocor bukan basis data utama AT&T, melainkan metadata tentang “siapa menghubungi siapa”
  • Bahkan tanpa stempel waktu atau nama dalam log panggilan, masih menjadi pertanyaan untuk tujuan apa catatan semacam itu akan digunakan

Tanggung jawab perusahaan dan dampak finansial

  • Praktik perusahaan besar menyimpan data pelanggan sensitif dengan perlindungan keamanan yang minim tetap menjadi masalah yang belum jelas penyelesaiannya
  • Selain ketika pelanggaran data diikuti gugatan class action, tidak banyak mekanisme untuk meminta pertanggungjawaban perusahaan atas praktik keamanan yang lemah
  • AT&T menyatakan kepada SEC bahwa insiden ini kemungkinan tidak akan berdampak material pada kondisi keuangan maupun hasil operasional AT&T
  • Pendapatan kuartalan terbaru AT&T melebihi 30 miliar dolar AS

1 komentar

 
GN⁺ 2024-07-13
Komentar Hacker News