Wählen Sie „B“ für „Breach“: Wie Angreifer die Telefonprotokolle von 110 Millionen AT&T-Kunden abgegriffen haben

Erinnern Sie sich noch an den Slogan von AT&T Anfang der 80er Jahre: „Reach Out and Touch Someone“ (Erreichen Sie jemanden und berühren Sie ihn)? Offenbar haben Cyberkriminelle diesen Slogan im April dieses Jahres wörtlich genommen, als sie die Anrufprotokolldaten von über einer Million AT&T-Kunden abgriffen.

Am 19. April erfuhr AT&T, dass Angreifer behaupteten, Zugriff auf die Daten des Unternehmens zu haben. Anschließend stahlen sie AT&T-Protokolldaten zu Mobilfunkanrufen und -SMS zwischen dem 1. Mai und dem 31. Oktober 2022. Bei den Protokollinformationen handelte es sich um Metadaten, die Telefonnummern enthielten, die Mobilfunknutzer angerufen hatten, wie viele Anrufe sie getätigt hatten und wie lange die Anrufe insgesamt dauerten. Sie enthielten auch die Mobilfunk-Identifikationsnummern für einige dieser Anrufe.

Die gestohlenen Daten enthielten keine persönlichen Daten wie Anruf- oder Textinhalte, Sozialversicherungsnummern oder Geburtsdaten. Wie AT&T jedoch in seiner SEC-Einreichung zu dem Vorfall: „Auch wenn die Daten keine Kundennamen enthalten, gibt es mithilfe öffentlich zugänglicher Online-Tools oft Möglichkeiten, den Namen zu finden, der einer bestimmten Telefonnummer zugeordnet ist.“ Durch die Einbeziehung der Mobilfunk-IDs ist es außerdem möglich, anhand dieses Datensatzes den Standort einiger dieser Anrufe zu analysieren – und damit auch die Nummerninhaber.

Sechs Monate Anrufprotokolle enthalten eine große Menge an Daten. AT&T hat erklärt, dass es 110 Millionen Kunden informieren wird, deren Anrufdaten von dem Datendiebstahl betroffen sind. In seiner Stellungnahme hieß es, dass es nicht glaube, dass die Daten öffentlich zugänglich gemacht worden seien.

AT&T reichte den SEC-Bericht zum Datendiebstahl am 12. Juli ein, also weit außerhalb der viertägigen Frist. AT&T verzögerte die Einreichung im Einklang mit der Aufforderung des Justizministeriums, da das DOJ entschied, dass die Einreichung des Berichts innerhalb der von der SEC geforderten normalen viertägigen Frist potenziell gefährlich wäre. Das ist nachvollziehbar, wenn man bedenkt, dass der Datendiebstahl offenbar bereits andauerte, nachdem das Telekommunikationsunternehmen erstmals von dem Eindringen der Bedrohungsakteure erfahren hatte. Die Anrufprotokolldaten wurden Tage, nachdem AT&T nach eigenen Angaben von dem Eindringen erfahren hatte, gestohlen.

Der Datendiebstahl ereignete sich überhaupt nicht in den Systemen von AT&T. Stattdessen geschah er über einen Cloud-Anbieter, den das Unternehmen in der Presse als das Cloud-basierte Data-Warehousing-Unternehmen Snowflake identifizierte. Dies war nicht der einzige derartige Datendiebstahl bei Snowflake; laut Mandiant wurden die Daten von 165 Kunden aus den Speichersystemen des Unternehmens gestohlen. Dies schien jedoch keine Programmierschwachstelle in der Software von Snowflake zu sein. Die Kunden, die Opfer dieser Diebstähle wurden, darunter Marken wie Ticketmaster, hatten eines gemeinsam: Ihre Kontoanmeldeinformationen waren über Malware gestohlen worden und sie verwendeten keine Multi-Faktor-Authentifizierung.

Was können wir aus dem AT&T/Snowflake-Datenleck lernen?

Wir alle können aus den Fehlern der Kunden lernen, die vom Snowball-Hack betroffen waren, sagen Experten. „Unternehmen sollten ein klares Verständnis des Modells der geteilten Sicherheitsverantwortung haben, das mit Lieferantenbeziehungen einhergeht, und robuste Identitäts- und Zugriffsverwaltungskontrollen auf Cloud-Plattformen implementieren“, sagt Milda Petraityte, Forscherin beim Cybersicherheitsberatungsunternehmen S-RM.

Snowflake hat selbst Maßnahmen ergriffen und eine neue Funktion für Kundenadministratoren eingeführt, um Erzwingen einer obligatorischen MFA am 9. Juli, fast drei Monate nachdem die Flut an unberechtigten Logins in seine Systeme begann. Das ist ein Anfang, aber man fragt sich, warum diese Funktion nicht schon vorher vorhanden war – oder warum es im Sinne echter Cybersicherheit ein anderes Betriebsmodell als die obligatorische MFA geben sollte.

Unternehmen hinken bei der Nutzung von MFA noch weit hinterher. CompTIAs Stand der Cybersicherheit 2024 Laut dem Bericht berücksichtigen nur 41 % der Unternehmen die Verwendung von MFA in ihren Cybersicherheitsstrategien. Nur 38 % nutzen irgendeine Form der Cloud-Workload-Governance.

Das andere Problem, das die Unternehmen in Schwierigkeiten brachte, war, dass sie den Diebstahl von Anmeldeinformationen nicht erkannten und eindämmten. „Einige Unternehmen waren sich nicht bewusst, dass sie von Infostealern kompromittiert worden waren, sodass ihre Anmeldeinformationen im Dark Web verfügbar waren“, betont Stephanie Schneider, Cyber ​​Threat Intelligence Analyst beim Passwortmanager-Unternehmen LastPass. Die Erkennung ist ein entscheidender Schritt in jedem Krisenreaktionsplan. Da die Unternehmen die Malware-Infektion, die zum Diebstahl der Anmeldeinformationen führte, nicht erkannten und dann keinen zusätzlichen Zugriffsschutz implementierten, machten sie sich angreifbar.

Unternehmen können sich über sichere Praktiken wie diese in gängigen Cybersicherheitsstandards informieren. So erwähnt beispielsweise ISO 270001 explizit sichere Authentifizierungsmethoden wie die externe Geräteauthentifizierung in seinem Anhang A 8.5 Dokumentation. Es werden auch Maßnahmen wie die Überprüfung auf und Verhinderung der Verwendung nicht autorisierter Software, tiefgreifender Malware-Schutz an mehreren Infrastrukturpunkten und die Schulung der Mitarbeiter im Hinblick auf Social Engineering und die Installation bösartiger Software in Kontrolle 8.7 – Schutz vor Malware.

Die effektive Umsetzung solcher Maßnahmen hätte möglicherweise dazu beigetragen, das Snowflake-Desaster von AT&T sowie die Angriffe vieler anderer Unternehmen über den Cloud-basierten Dienst zu verhindern. Das Telekommunikationsunternehmen hatte jedoch mit anderen Cybersicherheitsvorfällen zu kämpfen.

Im März dieses Jahres gab AT&T an, dass PII von 73 Millionen Kunden im Dark Web herumschwirrten und dass man nicht wisse, woher die Informationen stammten. Diese Daten, die aus einem Kompromiss im Jahr 2021 hervorgingen, reichten aus, um eine Sammelklage von frustrierten Kunden.

Im Januar 2023 meldete das Telekommunikationsunternehmen, dass PII von neun Millionen Kundenkonten über einen seiner externen Marketingpartner kompromittiert worden seien. Dies unterstreicht die Notwendigkeit gründlicher Lieferantenbewertungen und fortlaufender Sicherheitsaudits durch externe Anbieter, um nicht nur das eigene Netzwerk des Unternehmens, sondern sein gesamtes Datenökosystem zu sichern.

Die Verwaltung eines solchen Ökosystems ist für ein so ausgedehntes Unternehmen wie AT&T eine Herausforderung, insbesondere angesichts der Tatsache, dass es auch Geolokalisierungsdaten von Kunden ohne deren Zustimmung an Dritte verkauft. Dies ist auch ein Zeichen dafür, dass wir mehr regulatorische Maßnahmen benötigen, um diese Unternehmen zur Implementierung robuster Sicherheits- und Datenschutzkontrollen zu zwingen.