Il gigante USA delle telecomunicazioni AT&T ha comunicato in questi giorni di essere rimasto vittima di un attacco informatico, scoperto ad aprile scorso, che coinvolge potenzialmente non solo tutti gli utenti della rete mobile della società ma anche i loro ignari interlocutori.
I fatti
“Sulla base della nostra indagine i dati compromessi riguardano la pressoché totalità degli utenti della rete cellular AT&T, quelli degli operatori virtuali [NdR: detti MVNO] che utilizzano la rete mobile AT&T e gli utenti della rete fissa AT&T che hanno comunicato con gli utenti suddetti tra il primo maggio e il 31 ottobre 2022”
Quello riportato è uno stralcio dello stringato comunicato con il quale l’operatore di telefonia USA AT&T, il 12 luglio scorso, ha reso noto pubblicamente il data breach di cui è rimasto vittima.
I cybercriminali non sono penetrati nei sistemi aziendali direttamente controllati dalla società ma sono riusciti ad arrivare ai suoi dati attraverso il provider che fornisce ad AT&T i servizi cloud.
Anche se il nome non è stato ufficialmente indicato nel comunicato ufficiale, l’operatore di servizi cloud Snowflake avrebbe dichiarato di essere il soggetto in questione da cui è partita la fuga di dati.
Nella comunicazione inviata alla SEC, AT&T ha dichiarato che i dati trafugati non conterrebbero informazioni personali o relative al contenuto dei messaggi scambiati ma includerebbero solo il numero di chiamate scambiate tra le utenze e il tempo totale delle chiamate o dei messaggi scambiati, oltre al numero telefonico delle utenze coinvolte.
Ma l’AT&T stessa, nel comunicato mette le mani avanti evidenziando quanto sia facile risalire all’identità degli utenti a partire dai numeri delle loro utenze telefoniche.
E secondo Jake Williams, ex hacker in forza alla NSA e oggi consulente Infosec, i cybercriminali potrebbero aver usato dati sottratti in precedenti data breach per risalire alle identità degli utenti a partire dai loro numeri telefonici.
Altri esperti rincarano la dose ventilando l’ipotesi che almeno una parte dei dati trafugati contengano i dati tecnici delle stazioni radio base a cui si sono collegate le utenze mobili, informazione che tramite opportune triangolazioni potrebbe potenzialmente consentire di risalire alla posizione approssimata da cui è stata effettuata la conversazione.
L’azienda ha messo a disposizione dei propri utenti un servizio per verificare se sono tra quelli coinvolti nel data breach. In caso positivo, gli stessi hanno tempo fino a dicembre 2024 per poter scaricare il log del traffico che sarebbe stato oggetto del leak.
L’impatto dell’incidente
Anche se il data breach non stabilisce nessun primato – risultando molto distante dai numeri attribuiti all’incidente denominato Mother of All Data Breach che ha reso pubblici 26 miliardi di record – l’incidente presenta comunque un impatto non trascurabile considerando che i soli utenti della rete mobile AT&T sono circa 250 milioni a cui vanno sommati quelli degli operatori virtuali e le linee fisse coinvolte.
La lista degli operatori NVMO che utilizzano la rete AT&T è in effetti piuttosto corposa comprendendo, tra gli altri, gli operatori Black Wireless, Boost Infinite, Consumer Cellular, Cricket Wireless, FreedomPop, FreeUp Mobile, Good2Go, H2O Wireless, PureTalk, Red Pocket, Straight Talk Wireless, TracFone Wireless, Unreal Mobile, and Wing.
AT&T risulta essere l’ultima organizzazione, in ordine di tempo, ad essere vittima dei data breach che hanno colpito le società clienti dell’operatore di servizi cloud Snowflake.
Secondo Bloomberg, precedentemente le vulnerabilità di Snowflake avrebbero causato data leaks anche delle società Ticketmaster, Santander, Neiman Marcus, and LendingTree.
Perché il leak emerge solo ora
Come riportato nello stesso comunicato dell’azienda, il leak è stato scoperto ad aprile scorso. Nel comunicato trasmesso alla SEC AT&T ha poi precisato la data della scoperta, fissandola al 19 aprile 2024, e ha riferito di aver informato le Autorità competenti, di aver provveduto a sanare il buco di sicurezza che ha consentito il leak e di aver messo in piedi un team di esperti di cybersecurity per indagare sull’accaduto.
Il ritardo nel rendere pubblico l’incidente sarebbe una conseguenza della riservatezza richiesta dal Dipartimento della Giustizia e dall’FBI cui sono state affidate le indagini sull’incidente.
In effetti, come confermato da Patrick Schaumont, professore del Worcester Polytechnic Institute, incidenti di questo tipo vengono considerati questioni di sicurezza nazionale perché potenzialmente consentirebbero di ricostruire la rete di contatti collegati a eventuali utenti che lavorano o sono comunque coinvolti in attività correlate alla sicurezza nazionale.
Secondo quanto riportato nel comunicato dalla AT&T stessa, le indagini avrebbero condotto, per ora, all’arresto di un soggetto di cui non sono state rese note le generalità.
Tuttavia, secondo il sito 404media, l’arresto avvenuto in Turchia del cittadino americano John Binns, hacker precedentemente coinvolto in un attacco all’operatore T-Mobile, sarebbe da ricollegarsi proprio al data leaks in questione.
Sia AT&T, sia FBI, contattate dagli organi di stampa, non hanno comunque confermato se le indagini dell’incidente si siano concluse né reso noti i motivi per cui sia stato ora possibile rendere pubblico l’incidente.
Per lo stesso motivo non sono state fornite indicazioni neanche sul o sui potenziali gruppi cybercriminali che avrebbero condotto l’attacco.
Secondo un report di giugno di Mandiant, molti dei dati breach che hanno coinvolto gli utenti dei servizi cloud del provider Snowflake sono opera del gruppo di cybercriminali individuato dalla sigla UNC5537 che sarebbe riuscito a impossessarsi di credenziali valide di Snowflake anche grazie anche all’assenza di meccanismi di protezione delle utenze a due livelli (MFA).
I precedenti della società AT&T
Non bisogna risalire troppo indietro per trovare altri incidenti e data breach che hanno visto coinvolta AT&T: lo scorso 30 marzo, ovvero solo pochi giorni prima che la società venisse a conoscenza del presente data breach, la società aveva pubblicato un comunicato per avvisare di un’altra violazione che aveva coinvolto 73 milioni di utenti.
Per questo motivo appaiono quasi beffardi gli avvertimenti riportati negli stessi comunicati di avviso di dataleaks con i quali la società AT&T ricorda agli utenti le buone pratiche per evitare di mettere a rischio la propria privacy e per non cadere vittime dei tentativi di phishing.