Расследование TechCrunch об утечке данных клиентов американского телеком-гиганта привело к тому, что AT&T сбросил пароли некоторых учетных записей клиентов, чтобы защитить их от риска. Утечка данных включала в себя более 70 млн бывших и нынешних владельцев аккаунтов AT&T. Лишь часть из них все еще актуальна, но масштаб утечки данных ясно показывает, что утечки все еще происходят регулярно и представляют опасность для потребителей, несмотря на огромные объемы работы и инвестиций.
Телефонный гигант AT&T сбросил миллионы паролей к учетным записям клиентов после того, как в интернет попал огромный кэш данных, содержащий записи клиентов AT&T. Американский телекоммуникационный гигант инициировал массовый сброс паролей после того, как журналисты по кибербезопасности TechCrunch сообщили AT&T, что утечка данных содержит зашифрованные коды, которые могут быть использованы для доступа к учетным записям клиентов AT&T.
Исследователь безопасности, проанализировавший утечку данных, сообщил, что зашифрованные коды учетных записей легко расшифровать. TechCrunch предупредил AT&T о выводах исследователя безопасности. В заявлении, опубликованном в субботу, сказано:
«AT&T начала активное расследование, в котором участвуют внутренние и внешние эксперты по кибербезопасности. По результатам нашего предварительного анализа, набор данных, по-видимому, относится к 2019 году или ранее, затрагивая примерно 7,6 млн нынешних владельцев учетных записей AT&T и примерно 65,4 млн бывших владельцев учетных записей».
«У AT&T нет доказательств несанкционированного доступа к своим системам, приведшего к утечке набора данных», — говорится в заявлении. AT&T также опубликовала информацию о том, что могут сделать клиенты для обеспечения безопасности своих счетов.
Коды доступа к счетам клиентов AT&T — это обычно четырехзначные числа, которые используются в качестве дополнительного уровня безопасности при доступе к счету клиента, например при звонке в службу поддержки AT&T, в розничных магазинах и в Интернете.
Это первый случай, когда AT&T признала, что утечка данных принадлежит ее клиентам, спустя три года после того, как хакер заявил о краже 73 млн записей клиентов AT&T. AT&T отрицала факт взлома своих систем, но источник утечки данных остается неустановленным. Она заявила, что пока неизвестно, были ли данные в этих разделах получены от AT&T или от одного из ее вендоров.
В 2021 году хакер, заявивший о взломе AT&T, опубликовал лишь небольшую выборку записей, что затрудняет проверку подлинности данных. Ранее в марте продавец данных опубликовал все 73 млн предполагаемых записей AT&T в Интернете на известном киберпреступном форуме, что позволило провести более детальный анализ утечки. С тех пор клиенты AT&T подтвердили, что данные об их учетных записях являются точными.
Утечка данных включает в себя имена клиентов AT&T, домашние адреса, номера телефонов, даты рождения и номера социального страхования. Исследователь безопасности Сэм «Chick3nman» Кроли сообщил, что каждая запись в утечке данных также содержит код доступа к счету клиента AT&T в зашифрованном формате. Кроли перепроверил свои выводы, сверив записи в утечке данных с известными только ему паролями счетов AT&T.
По его словам, для того чтобы расшифровать данные о кодах, не нужно было взламывать шифр. Он взял все зашифрованные коды из 73 млн данных и удалил все дубликаты. В результате получилось около 10 тыс. уникальных зашифрованных значений, что соответствует каждой четырехзначной перестановке кодов в диапазоне от 0000 до 9999, с небольшими отклонениями для небольшого числа клиентов AT&T с кодами аккаунтов длиннее четырех цифр.
По словам Кроли, недостаточная случайность зашифрованных данных означает, что можно угадать четырехзначный пароль клиента, основываясь на окружающей информации в утечке данных. Нередко люди устанавливают коды — особенно если они ограничены четырьмя цифрами, — которые что-то значат для них. Это могут быть последние четыре цифры номера социального страхования или номера телефона человека, год его рождения или даже четыре цифры номера дома. Все эти сопутствующие данные содержатся почти в каждой записи в утечке данных.
Соотнеся зашифрованные пароли к учетным записям с сопутствующими данными, такими как даты рождения клиентов, номера домов, частичные номера социального страхования и номера телефонов, Кроли смог определить, какие зашифрованные значения соответствуют какому коду доступа в виде открытого текста.
AT&T заявила, что свяжется со всеми 7,6 млн существующих клиентов, чьи коды были сброшены, а также с нынешними и бывшими клиентами, чья личная информация была скомпрометирована.
Ранее технологический гигант Fujitsu подтвердил факт кибератаки и предупредил, что хакеры могли похитить личные данные и информацию о клиентах. Компания заявила, что отключила пострадавшие системы от своей сети и расследует, как ее сеть была скомпрометирована вредоносным ПО и «имела ли место утечка информации».