Kısaca:Bilgisayar korsanları 2022’den itibaren 100 milyondan fazla AT&T müşterisinin telefon kayıtlarını çaldı. Altı aylık bir döneme ait bilgiler, telefon numaraları, arama ve mesaj sayıları, süreler ve bazı durumlarda kule kimlik numaraları gibi meta veriler içeriyordu. Ancak, kısa mesajların ve aramaların içeriklerine erişilmedi.
Cuma günü AT&T, 110 milyon müşterisinin neredeyse tamamının telefon kayıtlarını ifşa eden büyük bir veri ihlalini açıkladı. TechCrunch, şirketin ihlali 19 Nisan’da keşfetmesine rağmen, erişilen kayıtların 1 Mayıs 2022 ve 31 Ekim 2022’ye ait olduğunu belirtiyor. 2 Ocak 2023’ten ek veri de tehlikeye atıldı. Veri önbelleği, cep telefonu ve sabit hat kullanıcılarının telefon numaralarını ve arama ve kısa mesaj kayıtlarını içeriyordu.
Kablosuz sağlayıcı, ihlalin aramaların veya metinlerin içeriğini içermediğini ancak kimin kiminle iletişime geçtiği, toplam arama ve metin sayısı ve arama süreleri gibi meta verileri ortaya çıkardığını söyledi. Bazı kayıtlar ayrıca kötü niyetli kişilerin aramaların ve metinlerin konumunu tahmin etmek için kullanabileceği hücre sitesi tanımlama numaraları içeriyordu.
İhlal, AT&T’nin ağını kullanan diğer taşıyıcıların müşterilerini de etkileyerek etkisini önemli ölçüde genişletti. Şirket, ihlalden etkilenen müşterilerini bilgilendireceğini söyledi ancak etkilenen diğer sağlayıcılarla ilgili eylemlerden bahsetmedi.
AT&T ihlaliyle ilgili devam eden bir soruşturmamız var ve kolluk kuvvetlerindeki ortaklarımızla koordinasyon halindeyiz.
– FCC (@FCC) 12 Temmuz 2024
İlginçtir ki, bu izinsiz giriş yakın zamandaki Snowflake ihlaliyle bağlantılıdır. Snowflake, AT&T, Ticketmaster ve QuoteWizard dahil olmak üzere müşterileri şirketin bulut sunucularında depolanan verilere yetkisiz erişimden muzdarip olan bir bulut veri sağlayıcısıdır. Araştırmacılar, temel nedenin Snowflake hesaplarında zorunlu çok faktörlü kimlik doğrulamanın (MFA) olmaması olduğunu ve bu durumun hesapları saldırılara karşı savunmasız bıraktığını belirlediler.
Siber güvenlik firması Mandiant, Snowflake’a yardım ederek, bilgisayar korsanlarının yaklaşık 165 müşteriden önemli miktarda veri çaldığını bildirdi. İhlali, Kuzey Amerika ve Türkiye’den üyeleri olan UNC5537 olarak bilinen bir siber suçlu grubuna bağladılar.
İhlalin ardından AT&T, olaya karışan siber suçluları yakalamak için kolluk kuvvetleriyle yakın bir şekilde çalışıyor. Şirket, en az bir kişinin yakalandığını doğruladı ve bunun bir AT&T çalışanı olmadığını belirtti. Bahsedildiği gibi, saldırı Nisan ayında gerçekleşti ancak FBI ve Adalet Bakanlığı, AT&T’den olası ulusal güvenlik ve kamu güvenliği riskleri nedeniyle kamuya açık bildirimi iki kez ertelemesini istedi. FCC, olaya karıştığını ve bir soruşturma yürüttüğünü tweetledi.
Bu ihlal, AT&T’nin bu yılki ikinci büyük güvenlik olayıdır. Daha önce, şirket, şifrelenmiş müşteri verisi bir siber suç forumunda göründükten sonra hesap şifrelerini sıfırlamak zorunda kalmıştı. Kötü niyetli kişilerin bu şifreleri çözme kolaylığı, taşıyıcıyı hızlı bir şekilde koruyucu önlem almaya yöneltti, ancak yalnızca ihlali iki hafta boyunca reddettikten sonra.
İlgili kişiler olayla ilgili daha fazla bilgiyi AT&T’nin özel web sitesinde bulabilirler. Şirket, daha fazla yetkisiz eylemi önlemek için gayretle çalışmaya devam ettiğini söylüyor.
Resim kredisi: Mike Mozart