山姆大叔紧张了！电信巨头AT&T遭遇重大数据泄露事件-殃及“几乎所有”客户的通话和短信记录

在当地时间7月12日（周五）提交给美国证券交易委员会的8-K文件中，AT&T透露其通过第三方云平台Snowflake遭受了重大数据泄露。攻击者窃取了该公司数百万无线客户几乎所有的通话和短信互动日志。据估计，约有1.1亿客户的信息受到影响。被盗数据主要涉及2022年五月至十月间的通话记录，是从第三方云平台Snowflake的工作区下载的。AT&T表示，泄露的数据不包含用户姓名、生日或社会安全号码等信息，但包括电话号码、通话次数、总通话时间以及部分基站ID号，后者可用于确定用户的大致地理位置。该公司于4月19日得知数据泄露事件，并立即启动了事件响应流程，同时与FBI合作调查。美国司法部曾两次批准推迟披露此次泄露事件，以便进行调查。AT&T认为信息泄露发生在4月14日至25日之间，目前已有至少一人因此事件被捕。AT&T警告用户警惕可能的网络钓鱼和短信诈骗，并表示将通过短信、电子邮件或美国邮政与受影响的客户联系。此外，AT&T强调此次泄露与3月份在黑客论坛上免费发布的7000万AT&T客户旧数据无关。Snowflake作为数据泄露的平台，本周推出了额外的安全功能，包括强制使用多因素身份验证来访问账户。此次事件再次凸显了云服务和电信行业在数据安全方面面临的挑战。

泄露了什么数据？

泄露风险及影响

受影响的部门和群体首先包括联邦政府部门，国土安全部、司法部、国务院、国防部、退伍军人事务部及情报部门等均受到此次泄露事件的影响。使用 AT&T 提供电信服务的联邦机构也在泄露范围内，包括负责国家安全和通信基础设施的部门，如国防信息系统局（DISA）。

其次是各类企业客户的数据也受到了影响，特别是依赖 AT&T 网络的企业，如 Ticketmaster、Santander Bank、LendingTree 子公司 QuoteWizard 等。高科技公司和其他使用 Snowflake 进行数据分析的企业。

第三个才是个人用户，AT&T 的所有无线客户以及使用 AT&T 网络的移动虚拟网络运营商（MVNO）客户，例如 Boost Mobile、Cricket Wireless、H2O 和 Straight Talk Wireless 的用户。

风险和可能的影响有三大类。

一是隐私风险；被盗的元数据可揭露用户的通话和短信模式，暴露用户的住所、工作地点、闲暇时间等敏感信息。攻击者可以通过这些数据进行生活模式的分析，推测用户的社交关系和行为习惯。

二是网络安全风险；网络犯罪分子可以利用这些数据进行社会工程攻击和网络钓鱼，冒充用户信任的人，实施更可信的欺诈行为。基站识别号码的泄露增加了物理定位风险，特别是对那些试图隐瞒身份的人，如家庭暴力幸存者，这可能导致严重的人身安全问题。

三是情报风险；重要的联邦机构和企业可能会面临更高的情报和安全威胁。泄露的数据可以用来进行针对性的攻击，窃取敏感信息或干扰重要业务活动。泄露的数据对情报分析有极高价值，情报机构可能利用这些数据开发潜在的情报来源和资产。十多年前类似的泄露事件表明，电信公司的数据对国家安全机构具有重要意义，因此这些数据可能被用于情报搜集。

谁泄露了数据？

AT&T 将此事件归咎于云服务提供商Snowflake最近的一次入侵，该事件已影响到数十家公司，包括Ticketmaster、Santander Bank和LendingTree子公司 QuoteWizard。目前，尚不清楚Snowflake入侵事件的幕后黑手究竟是谁。Snowflake聘请的网络安全公司Mandiant表示，他们认定为UNC5537的以经济为目的的网络犯罪集团是幕后黑手。

 这是一个尚未分类的网络犯罪团伙UNC5537，这个团伙的动机是金钱，其成员分布在北美，至少有一名成员在土耳其。被盗数据是通过对云服务提供商Snowflake的入侵获得的，Snowflake允许企业客户在云端分析大量客户数据。UNC5537利用了客户没有使用多因素身份验证的漏洞，从Snowflake窃取了大量数据。

AT&T及联邦政府的响应措施

网络安全和基础设施安全局发言人告诉Nextgov/FCW ：“CISA已获悉今天报告的网络事件，并正在与AT&T和USG合作伙伴合作评估影响。”他承认，该事件可能会对联邦客户产生影响。“与往常一样，CISA敦促所有组织实施严格的安全措施，包括多因素身份验证。我们将继续监控并在必要时提供指导或协助。” 

美国联邦通信委员会在X社交媒体平台上表示，正在对此次泄密事件进行“持续调查”，并正在与执法伙伴进行协调。 

KnowBe4的首席安全意识倡导者Javvad Malik在电子邮件中强调了AT&T数据泄露事件中包含基站识别号码的严重性，指出这些信息可能被用于三角测量用户位置，增加了隐私侵犯的物理维度。他认为，这不仅使个人面临更精准的社会工程攻击，也可能威胁到特定群体，如试图逃离虐待关系的人的人身安全。Malik进一步指出，即使元数据如通话记录和短信活动可能不会立即被视为敏感信息，它们却能详细描绘出个人的日常生活、习惯和社交圈，对恶意行为者来说是极具价值的资产。他警告说，这些暴露的数据在未来几年可能被用于复杂的网络钓鱼、身份盗窃和其他恶意活动，强调数据泄露的影响远超过初始事件，并可能对受影响的个人产生长期影响。

Saviynt首席信托官Jim Routh强调了AT&T数据泄露事件凸显了第三方数据存储生态系统需要彻底改革的必要性。尽管此次泄露事件中并未包括客户的凭证信息，但Routh认为这仍然是一个警示，表明企业需要投资于重新设计特定于凭证管理的第三方治理模式。他的观点强调了数据安全管理的重要性，以及在当前网络安全环境下，企业需要对第三方数据存储和处理方式进行深入审视和改进。

Sectigo产品高级副总裁Jason Soroko针对Snowflake客户在数据泄露事件中的安全问题提出了建议，特别是关于实施多因素身份验证(MFA)的重要性。他认为，使用Snowflake的公司应立即采取行动，通过MFA增强账户的安全性，以保护敏感数据不受网络攻击。Soroko解释说，MFA提供了额外的安全防护层，可以有效防止未经授权的访问，显著降低违规风险。他建议，不仅Snowflake用户，任何使用第三方服务的人都应采用比单一用户名和密码更强大的认证方式，以确保身份验证的安全性。

1、https://techcrunch.com/2024/07/12/what-the-att-call-records-data-breach-means-for-you/

2、https://techcrunch.com/2024/07/12/att-phone-records-stolen-data-breach/

3、https://hackread.com/att-data-breach-hackers-steal-call-text-records/

4、https://www.darkreading.com/cyberattacks-data-breaches/att-breach-may-also-impact-millions-of-boost-cricket-h2o-customers

5、https://www.nextgov.com/cybersecurity/2024/07/dozens-federal-agencies-call-data-potentially-exposed-t-breach/398005/?oref=ng-home-top-story