Breach AT&T: la compagnia ha pagato 370.000 dollari per cancellare i dati rubati

Lug 16, 2024 Marina Londei Attacchi, Hacking, News, RSS 0

Lo scorso venerdì AT&T ha rivelato di aver subito un data breach che ha compromesso dati relativi alle chiamate e ai messaggi di quasi tutti i suoi clienti (decine di milioni) del periodo compreso tra il 1° maggio 2022 e il 31 ottobre 2022.

By Raysonho @ Open Grid Scheduler / Scalable Grid Engine – Own work, CC0

Il breach sarebbe avvenuto lo scorso aprile. La compagnia ha sottolineato che i dati contenevano solo i numeri di telefono coinvolti nelle comunicazioni ma non il contenuto dei messaggi o delle chiamate, né informazioni personali degli utenti, specificando però anche che “Anche se i dati non includono i nomi dei consumatori ci sono molti modi, usando tool pubblici disponibili online, di trovare il nome associato a uno specifico numero telefonico“.

Secondo quanto riportato da Wired, in seguito AT&T ha pagato 370.000 dollari all’hacker responsabile del breach affinché cancellasse i dati rubati, chiedendo un video che provasse l’operazione.

Il cybercriminale sarebbe parte del gruppo ShinyHunters, conosciuto per aver rubato informazioni di clienti di numerose piattaforme, tra le quali Ticketmaster e Santander e ora AT&T, sfruttando account Snowflake insicuri.

Wired stessa ha confermato che è avvenuta una transazione da parte della compagnia di telecomunicazioni per un totale di 7.5 bitcoin (l’equivalente di 373.646 dollari al momento del pagamento, avvenuto lo scorso 17 maggio). Sembra che inizialmente l’hacker avesse chiesto un milione di dollari alla compagnia, ma alla fine le due parti si sono accordate per un terzo della cifra.

La transazione è avvenuta tramite Reddington, un ricercatore di sicurezza che ha seguito il processo e ha fornito a Wired la prova del pagamento. Il motivo dietro la scelta di questo intermediario è che, a quanto pare, è stato il ricercatore di sicurezza a informare AT&T del breach tramite Mandiant.

Reddington si è occupato non solo della negoziazione di AT&T, ma anche di quelle di altre realtà colpite dai breach Snowflake. Secondo il ricercatore “l’hack di Ticketmaster è avvenuto per primo; a quel punto, sembra che l‘attaccante ha scoperto di poter colpire i domini di snowflakecomputing.com sfruttando credenziali rubate. Non gli ci è voluto molto per redigere una lista di vittime Snowflake e scrivere un script per colpire tutte simultaneamente“.

I dati sarebbero stati cancellati e mai pubblicati online, anche se il ricercatore di sicurezza non è sicuro di quante altre persone abbiano ricevuto estratti di queste informazioni, come è accaduto a lui.

Pixabay

Chi è il colpevole del breach contro AT&T?

Al momento non si è del tutto certi dell’identità dell’hacker: a contattare Reddington sembra sia stato tale John Erin Binns, il quale ha informato il ricercatore di aver ottenuto i log delle sue chiamate. Binns non è però la stessa persona che ha ricevuto il pagamento: non è chiaro se gli sia l’effettivo responsabile dell’attacco o se sia solo un collaboratore.

La questione, stando a quanto riportato da Wired, è complessa: contattato dalla testata, l’hacker che ha ricevuto il pagamento ha affermato che è Binns l’autore del breach, ma che non è stato lui a ricevere i soldi perché, nel frattempo, Binns è stato arrestato mentre si trovava in Turchia.

Il motivo dell’arresto sarebbe legato a un breach avvenuto nel 2021 a danni di T-Mobile. L’hacker è incriminato ufficialmente per 12 capi d’accusa riguardo il breach contro T-Mobile e, se la notizia dell’arresto fosse vera, significherebbe che Binns ha attaccato Snowflake sapendo di essere già ufficialmente accusato.

AT&T ha specificato di star lavorando per aumentare la protezione dei dati dei consumatori. Nel frattempo, subito dopo la notizia dei breach, le azioni della compagnia sono scese dell’1%.

Condividi l'articolo