AT&T Hack über Snowflake-Vorfall, Unternehmen zahlt Hackern

Ich versuche mal ein wenig den roten Faden in sich überschlagende Entwicklungen zu bringen. Der US-Telekommunikationsgigant AT&T wurde im April 2024 gehackt – Millionen Kundendaten flossen ab. Ursächlich für den Hack war wohl der Sicherheitsvorfall beim Anbieter Snowflake (auch Ticketmaster ist ein Opfer). Nun wird bekannt, dass AT&T den Hackern wohl Geld gezahlt hat, dass keine Daten veröffentlicht werden. Und bei Ticketmaster wurden Tausende Tickets für Veranstaltungen veröffentlicht.

AT&T gesteht Datenschutzvorfall ein

In einer Mitteilung vom 13. Juli 2024 hat Telekommunikationsgigant AT&T eingeräumt, dass Kundendaten von AT&T illegal aus seinem Arbeitsbereich auf einer Cloud-Plattform eines Drittanbieters heruntergeladen wurden. Zu den Daten gehören Aufzeichnungen von Anrufen und Textnachrichten von fast allen AT&T-Mobilfunkkunden vom 1. Mai 2022 bis zum 31. Oktober 2022 sowie vom 2. Januar 2023 enthielten.

Diese Aufzeichnungen identifizieren andere Telefonnummern, mit denen eine AT&T-Mobilfunknummer in diesem Zeitraum interagiert hat, einschließlich AT&T-Festnetzkunden (Haustelefon). Für eine Teilmenge der Datensätze sind auch eine oder mehrere mit den Interaktionen verbundene Mobilfunk-ID-Nummern enthalten.

AT&T hat (laut dieser Mitteilung an die US-Börsenaufsicht) erst am 19. April 2024 erfahren, dass ein Bedrohungsakteur behauptete, unrechtmäßig auf AT&T-Anrufprotokolle zugegriffen und diese kopiert zu haben. The Hacker News hat hier z.B. einige Informationen zusammen getragen und Josef Cox schrieb hier darüber.

Obigem Tweet sowie diesem Wired-Artikel findet sich die Information, dass das Unternehmen einem der Hacker aus der Gruppe ShinyHunters die Summe von  370.000 US-Dollar gezahlt haben soll, damit die gestohlenen Daten gelöscht und ein Video des Hacks entfernt werde.

Der Snowflake-Vorfall

Von AT&T wurde in der Mitteilung „eine Cloud-Plattform eines Drittanbieters“ erwähnt. Sicherheits-Experte Jake Williams gibt in nachfolgendem Tweet dann den Hinweis, dass auch dieser Hack wohl mit dem Snowflake-Vorfall zu tun hat.

Snowflake ist eine Cloud-Plattform (das Unternehmen bezeichnet sich als AI Data Cloud), die von von 9.437 Kunden genutzt wird. Dazu gehören Unternehmen wie Adobe, AT&T, Capital One, Doordash, HP, Instacart, JetBlue, Kraft Heinz, Mastercard, Micron, NBC Universal, Nielsen, Novartis, Okta, PepsiCo, Siemens, US Foods, Western Union, Yamaha und viele andere. Im Mai 2024 kam es wohl zu diversen Cybervorfällen bei Banken, beim Anbieter Ticketmaster etc. Ich hatte im Beitrag Hacks bei Santander und Ticketmaster über Snowflake-Konten berichtet, dass diese Hacks über den Anbieter Snowflake möglich waren. Im Beitrag Snowflake-Nachlese: Hack von 165 Unternehmen (u.a. Ticketmaster, Santander) findet sich die Information, dass möglicherweise eine dreistellige Zahl an Unternehmen Opfer dieses Hacks wurden.

Bei Ticketmaster, einer Plattform für den Verkauf von Tickets, wurden nicht nur 500 Millionen Kundendaten abgezogen. Die Hacker haben auch Tickets für Taylor Swift-Konzerte ins Internet gestellt (Golem hat beispielsweise vor einigen Tagen berichtet). Joseph Cox berichtet hier, dass die geleakten Daten es einem Dritten ermöglichen, echte Tickets für kommende Shows zu erstellen, sie zu scannen und echte Fans zu bescheißen. Normalerweise ist der Weiterverkauf von Tickets nicht möglich, da Ticketmaster „nicht übertragbare“ Tickets eingeführt hat. Aber bestimmte Akteure haben mit den Hackern kooperiert, um die auf den elektronischen Tickets angegebenen Barcodes so zu manipulieren, dass die Tickets übertragbar sind. Details hat Joseph Cox hier berichtet.

Ähnliche Artikel:
Cybervorfälle bei Banken: ABN Amro und Santander (Mai 2024)
Anbieter Ticketmaster gehackt, mehr als 500 Mio-Nutzerdaten entwendet
Hacks bei Santander und Ticketmaster über Snowflake-Konten
Snowflake-Nachlese: Hack von 165 Unternehmen (u.a. Ticketmaster, Santander)