AT&T confirma una violación de datos que afecta a casi todos sus clientes de servicios inalámbricos

«Los actores malintencionados han utilizado datos de compromisos anteriores para mapear números de teléfono a identidades», dijo Jake Williams, ex hacker de la NSA y miembro de la facultad de IANS Research. «Lo que los actores malintencionados robaron aquí son efectivamente registros de datos de llamadas (CDR), que son un tesoro en el análisis de inteligencia porque pueden usarse para entender quién está hablando con quién y cuándo».

La lista de MVNOs de AT&T incluye Black Wireless, Boost Infinite, Consumer Cellular, Cricket Wireless, FreedomPop, FreeUp Mobile, Good2Go, H2O Wireless, PureTalk, Red Pocket, Straight Talk Wireless, TracFone Wireless, Unreal Mobile y Wing.

El nombre del proveedor de la nube de terceros no fue divulgado por AT&T, pero Snowflake ha confirmado que la violación estaba relacionada con el hackeo que ha afectado a otros clientes, como Ticketmaster, Santander, Neiman Marcus y LendingTree, según Bloomberg.

La compañía dijo que tuvo conocimiento del incidente el 19 de abril de 2024 e inmediatamente activó sus esfuerzos de respuesta. Además, señaló que está trabajando con la policía en sus esfuerzos por arrestar a los involucrados y que «al menos una persona ha sido detenida».

404 Media informó que un ciudadano estadounidense de 24 años llamado John Binns, quien fue arrestado previamente en Turquía en mayo de 2024, está relacionado con el evento de seguridad, citando tres fuentes anónimas. También fue acusado en EE. UU. por infiltrarse en T-Mobile en 2021 y vender los datos de sus clientes.

Sin embargo, AT&T enfatizó que la información accedida no incluye el contenido de las llamadas o mensajes de texto, información personal como números de Seguro Social, fechas de nacimiento u otra información de identificación personal.

«Aunque los datos no incluyen nombres de clientes, a menudo hay formas, utilizando herramientas en línea disponibles públicamente, de encontrar el nombre asociado con un número de teléfono específico», dijo en una presentación del Formulario 8-K ante la Comisión de Bolsa y Valores de EE. UU. (SEC).

También insta a los usuarios a estar atentos a estafas de phishing, smishing y fraude en línea abriendo solo mensajes de texto de remitentes confiables. Además, los clientes pueden solicitar obtener los números de teléfono de sus llamadas y mensajes en los datos descargados ilegalmente.

La campaña cibernética maliciosa dirigida a Snowflake ha puesto en la mira a hasta 165 clientes, con Mandiant, propiedad de Google, atribuyendo la actividad a un actor de amenazas con motivación financiera denominado UNC5537, que incluye «miembros con base en América del Norte y que colaboran con un miembro adicional en Turquía».

Los criminales han exigido pagos de entre $300,000 y $5 millones a cambio de los datos robados. El último desarrollo muestra que las consecuencias de la ola de delitos cibernéticos están ampliándose en alcance y han tenido un efecto en cascada.

WIRED reveló el mes pasado cómo los hackers detrás de los robos de datos y los ataques de extorsión adquirieron credenciales robadas de Snowflake de servicios de la dark web que venden acceso a nombres de usuario, contraseñas y tokens de autenticación capturados por malware. Esto incluyó obtener acceso a través de un contratista de terceros llamado EPAM Systems.

Por su parte, Snowflake anunció esta semana que los administradores ahora pueden imponer la autenticación multifactor (MFA) obligatoria para todos los usuarios para mitigar el riesgo de toma de cuentas. También dijo que pronto requerirá MFA para todos los usuarios en cuentas de Snowflake recién creadas.