Soita B-rikkomuksesta: kuinka hyökkääjät löivät 110 miljoonaa AT&T-asiakkaan puhelinlokia

Muistatko 80-luvun alussa, kun AT&T:n iskulause oli "Ota ulos ja kosketa jotakuta"? Ilmeisesti kyberrikolliset ottivat sen kirjaimellisesti tämän vuoden huhtikuussa, kun he ottivat yhteyttä ja koskettivat yli miljoonan AT&T-asiakkaan puhelulokitietoja.

Huhtikuun 19. päivänä AT&T sai tietää, että tunkeilijat väittivät pääsevänsä sen tietoihin. Tunkeilijat varastivat sitten AT&T:n lokitiedot, jotka liittyvät langattomiin puheluihin ja teksteihin 1.-31 välisenä aikana. Lokitiedot olivat metatietoja, jotka sisälsivät puhelinnumerot, joihin langattomat käyttäjät soittivat, kuinka monta puhelua he soittivat ja kuinka kauan puhelut kestivät yhteensä. Se sisälsi myös soluaseman tunnistenumerot joillekin näistä puheluista.

Varastetut tiedot eivät sisältäneet henkilökohtaisia ​​tunnistetietoja, kuten puhelu- tai tekstisisältöä, sosiaaliturvatunnuksia tai syntymäpäiviä. Kuten AT&T kuitenkin huomauttaa SEC-arkistointi tapauksesta: "Vaikka data ei sisällä asiakkaiden nimiä, on usein tapoja löytää tiettyyn puhelinnumeroon liittyvä nimi käyttämällä julkisesti saatavilla olevia online-työkaluja." Solusivustotunnusten sisällyttäminen mahdollistaa myös sen, että ihmiset voivat käyttää tätä tietojoukkoa analysoimaan joidenkin puheluiden sijaintia – ja siten myös numeroiden omistajia.

Kuuden kuukauden puhelulokit sisältävät suuren määrän tietoa. AT&T on ilmoittanut ilmoittavansa 110 miljoonalle asiakkaalle, joiden puhelutiedot olivat osallisena tietomurron aikana. Hakemuksessaan se sanoi, ettei se uskonut, että tiedot oli asetettu julkisesti saataville.

AT&T jätti SEC-hakemuksen rikkomuksesta 12. heinäkuuta, kaukana neljän päivän ikkunan ulkopuolella. Se viivästytti hakemuksen jättämistä oikeusministeriön pyynnön mukaisesti, koska DOJ päätti, että raportin jättäminen SEC:n pyytämän normaalin neljän päivän kuluessa olisi mahdollisesti vaarallista. Tämä on järkevää, koska tietomurto oli ilmeisesti käynnissä sen jälkeen, kun puhelinyhtiö sai ensimmäisen kerran tietää uhkaavien toimijoiden tunkeutumisesta. Puhelulokin tiedot varastettiin päiviä sen jälkeen, kun AT&T ilmoitti kuulleensa tunkeutumisesta.

Rikkominen ei tapahtunut AT&T:n järjestelmissä ollenkaan. Sen sijaan tapahtui kolmannen osapuolen pilvipalveluntarjoajan kautta, että yritys tunnisti lehdistössä pilvipohjaiseksi tietovarastoyritykseksi Snowflake. Tämä ei ollut ainoa lumihiutaleen tietovarkaus; Mandiantin mukaan 165 asiakkaan tiedot varastettiin yrityksen tallennusjärjestelmistä. Tämä ei kuitenkaan näyttänyt olevan Snowflaken ohjelmiston koodaushaavoittuvuus. Näiden varkauksien uhreiksi joutuneilla asiakkailla, joihin kuului muun muassa Ticketmasterin kaltaisia ​​brändejä, oli yksi yhteinen piirre: heidän tilitunnuksensa oli varastettu haittaohjelmien kautta, eivätkä he käyttäneet monitekijätodennusta.

Mitä voimme oppia AT&T/Snowflake Breachista?

Asiantuntijat sanovat, että voimme kaikki oppia lumipallorikkomuksesta kärsineiden asiakkaiden virheistä. "Organisaatioilla tulee olla selkeä käsitys toimittajasuhteiden jaetun turvallisuusvastuun mallista ja niiden tulee ottaa käyttöön vankat identiteetin ja pääsynhallinnan hallintalaitteet pilvialustoille", sanoo kyberturvallisuuskonsulttiyhtiö S-RM:n tutkija Milda Petraityte.

Snowflake ryhtyi omiin toimiin ja esitteli uuden ominaisuuden asiakkaiden järjestelmänvalvojille pakollinen MFA 9. heinäkuuta, lähes kolme kuukautta sen jälkeen, kun luvaton kirjautuminen sen järjestelmiin alkoi. Tämä on alku, mutta ihmetyttää, miksi tämä ominaisuus ei ollut jo käytössä – tai miksi todellisen kyberturvallisuuden hengessä olisi olemassa jokin muu toimintamalli kuin pakollinen MFA.

Yritykset ovat edelleen paljon jäljessä makrotaloudellisen rahoitusavun käytössä. Mukaan CompTIA:n vuoden 2024 kyberturvallisuuden tila Raportin mukaan vain 41 % yrityksistä sisällyttää makrotaloudellisen rahoitusavun kyberturvallisuusstrategioihinsa. Vain 38 % käyttää jonkinlaista pilvityökuorman hallintaa.

Toinen ongelma, joka johti yritykset vaikeuksiin, oli valtakirjavarkauksien havaitseminen ja lieventäminen. "Useat yritykset eivät tienneet, että tietovarastot olivat vaarantuneet, joten heidän tunnistetiedot olivat saatavilla pimeässä verkossa", huomauttaa Stephanie Schneider, kyberuhkien tiedusteluanalyytikko salasananhallintayhtiöstä LastPassista. Havaitseminen on kriittinen vaihe kaikissa onnettomuuksien reagointisuunnitelmassa. Koska yritykset eivät havainneet tunnistetietojen varastamiseen johtanutta haittaohjelmatartuntaa eivätkä sitten ottaneet käyttöön ylimääräistä pääsysuojausta, he jättivät itsensä haavoittuviksi.

Yritykset voivat oppia tällaisista turvallisista käytännöistä yleisissä kyberturvallisuusstandardeissa. Esimerkiksi ISO 270001 mainitsee nimenomaisesti suojatut todennusmenetelmät, kuten ulkoisen laitteen todennus. Liite A 8.5 dokumentaatio. Siinä mainitaan myös toimenpiteet, kuten luvattomien ohjelmistojen tarkistaminen ja käytön estäminen, perusteellinen suojaus haittaohjelmilta useissa infrastruktuuripisteissä ja työntekijöiden kouluttaminen olemaan tietoisia manipuloinnista ja haittaohjelmien asentamisesta Ohjaus 8.7 – Suojaus haittaohjelmia vastaan.

Tällaisten toimenpiteiden tehokas toteuttaminen olisi saattanut auttaa estämään AT&T:n Snowflake-katastrofin sekä monien muiden yritysten rikkomukset pilvipohjaisen palvelun kautta. Puhelinyhtiöllä on kuitenkin ollut muita kyberturvallisuushäiriöitä.

Tämän vuoden maaliskuussa AT&T ilmoitti, että 73 miljoonan asiakkaan henkilökohtaisia ​​tunnistetietoja kelluu pimeässä verkossa, eikä se tiennyt, mistä tiedot olivat peräisin. Tämä vuonna 2021 tehdystä kompromissista saatu data riitti herättämään a class-action oikeusjuttu turhautuneilta asiakkailta.

Telco ilmoitti tammikuussa 2023, että yhdeksän miljoonan asiakastilin henkilökohtaiset tunnistetiedot oli vaarantunut kolmannen osapuolen markkinointikumppanin kautta. Tämä korostaa tarvetta vankkaille toimittajien arvioinneille ja jatkuville kolmannen osapuolen tietoturvatarkastuksille, jotka auttavat turvaamaan yrityksen oman verkon lisäksi sen koko tietoekosysteemin.

Tällaisen ekosysteemin hallinta on haaste niin laajalle yritykselle kuin AT&T, varsinkin kun otetaan huomioon, että myi asiakkaiden paikkatietoja kolmansille osapuolille ilman heidän suostumustaan. Tämä on myös merkki siitä, että tarvitsemme lisää sääntelytoimia pakottaaksemme nämä yritykset ottamaan käyttöön vankat tietoturva- ja yksityisyydensuojakeinot.