L’entreprise américaine AT&T a confirmé que les données téléphoniques de presque tous ses 90 millions d’abonnés ont été infiltrées pendant une période de six mois en 2022, constituant un des vols de données les plus importants de l’année. Ces données sont principalement des historiques d’appels et de SMS, révélant les numéros contactés par chaque client durant la période visée. Toutefois, le contenu des appels et des messages textes n’est pas inclus dans cette fuite de données. AT&T insiste sur le fait que les numéros compromis ne sont pas liés à d’autres informations pouvant identifier le client, telles que son nom.
Cependant, le communiqué indique qu’il y a plusieurs méthodes pour retrouver l’identité du propriétaire d’un numéro. Dans certains cas, les données dérobées fournissaient des détails pouvant indiquer la localisation d’un appel ou d’un message texte.
Cet événement intervient après la cyberattaque majeure subie par AT & T en mars, au cours de laquelle les informations personnelles de plus de 70 millions d’anciens et actuels clients ont été divulguées sur le dark Web. Le service Snowflake a été désigné comme cible.
Des informations provenant de sources fiables ont confirmé à l’Agence France-Presse et à 404Media, un site spécialisé, que des données ont été dérobées via Snowflake, un service tiers utilisé par la société AT&T. Cette plateforme de stockage de données en ligne a fait l’objet d’attaques répétées au printemps par des cybercriminels qui tentaient de violer les zones de stockage de ses clients. D’après un rapport récent de Mandiant, une entreprise de cybersécurité, plus de 165 organisations ont été visées. Des attaques majeures détectées ces derniers mois, comme celle contre Ticketmaster, pourraient avoir un lien avec des sessions compromises de clients de Snowflake.
AT&T a déclaré que pour le moment, ils ne pensent pas que les données dérobées sont accessibles au public. Ils travaillent en collaboration avec les forces de l’ordre. D’après Wired, un magazine spécialisé, AT&T aurait négocié avec les pirates en mai et aurait payé environ 370 000 dollars (339 071 euros) pour obtenir la suppression des données volées.
Le rapport de Mandiant n’identifie pas précisément le groupe suspecté d’être à l’origine de cette série de piratages ciblant les clients de Snowflake. Toutefois, Wired suggère que l’attaque pourrait être l’œuvre du collectif ShinyHunters ou des individus associés à ce groupe. Ce nom est familier aux chercheurs en sécurité informatique et aux autorités car il a été identifié ou soupçonné dans de nombreux piratages ces dernières années. Il avait récemment pris le contrôle de BreachForums, l’un des principaux forums de vente de données volées.
Le communiqué d’AT&T indique qu’à leur avis, au moins un suspect lié au piratage a été arrêté jusqu’à présent. 404Media suggère que l’individu pourrait être John Binns, un Américain déjà suspecté dans une précédente affaire de vol de données impliquant l’opérateur téléphonique, qui a été récemment arrêté en Turquie.