AT&T paie une rançon de 370 000 $ suite à une violation de données liée à un pirate informatique américain

AT&T a confirmé une violation majeure de données affectant presque tous ses clients sans fil , l'incident étant lié à un pirate informatique américain résidant en Turquie. Le géant des télécommunications aurait payé 370 000 dollars de rançon pour empêcher que les informations divulguées ne soient rendues publiques.

La violation, divulguée par AT&T vendredi dernier, impliquait l'exfiltration des enregistrements d'appels et d'interactions texte des clients du 1er mai 2022 au 31 octobre 2022 et au 2 janvier 2023. Ces enregistrements provenaient de « l'espace de travail » d'AT&T sur un site tiers. plateforme cloud, et bien qu'ils n'incluent pas d'informations personnelles sensibles ni le contenu des communications, ils contiennent des détails tels que les numéros de téléphone avec lesquels ils ont interagi, le nombre d'appels ou de SMS et la durée des appels. AT&T a assuré à ses clients que les noms n'étaient pas inclus dans les données compromises, tout en notant que les numéros de téléphone pourraient potentiellement être liés à des noms à l'aide d'outils accessibles au public.

En réponse à cette violation, AT&T informe environ 110 millions de clients concernés. La société a déclaré que les données volées ne seraient pas accessibles au public et a confirmé l'arrestation d'au moins une personne en lien avec l'incident.

Au cours du week-end, davantage de détails ont été révélés sur cette violation. Selon un rapport de Wired, AT&T a payé une rançon de 370 000 dollars en bitcoins à un pirate informatique en mai pour obtenir la suppression des données volées. Le hacker, associé au célèbre groupe ShinyHunters, avait initialement exigé 1 million de dollars, mais s'est finalement contenté de moins. La preuve du paiement de la rançon a été fournie par le biais des enregistrements de transfert de crypto-monnaie et a été confirmée par plusieurs sources.

Les données client volées semblent avoir été obtenues à partir de la plateforme de stockage de données Snowflake, qui a récemment été ciblée par des pirates informatiques utilisant des informations d'identification volées. Plusieurs autres grandes entreprises, dont Ticketmaster, Santander Bank, Advance Auto Parts et Neiman Marcus, ont également été touchées par les violations de Snowflake.

John Binns, un hacker américain vivant en Turquie, a été identifié comme un personnage clé du piratage d'AT&T. Binns, connu pour son implication dans le piratage du T-Mobile en 2021, a été arrêté en Turquie en mai 2024 en lien avec cette violation. Son arrestation serait liée à la déclaration d'AT&T selon laquelle un individu aurait été appréhendé.

Reddington, un chercheur contacté par Binns en avril, a révélé que Binns affirmait avoir obtenu des millions de journaux d'appels de clients AT&T auprès de Snowflake et avait demandé l'aide de Reddington pour négocier un rachat de données avec AT&T. En raison de l'arrestation de Binns, la rançon a finalement été envoyée à un membre de ShinyHunters.

Les pirates auraient stocké la base de données complète d'AT&T sur un serveur cloud, la supprimant après avoir reçu la rançon. Cependant, des échantillons de données peuvent avoir été distribués à plusieurs personnes avant leur suppression.

Cette violation souligne les vulnérabilités persistantes du stockage de données dans le cloud et les menaces persistantes posées par des groupes cybercriminels comme ShinyHunters. Il met également en lumière l’interaction complexe entre les forces de l’ordre internationales et la cybersécurité, alors que les entreprises doivent relever les défis liés à la protection des informations sensibles de leurs clients.

4o