חייג B לפריצה: איך התוקפים תפסו 110 מיליון יומני טלפון של לקוחות AT&T

מאת דני ברדבורי • 27 אוגוסט 2024

זוכרים בתחילת שנות השמונים כאשר הסלוגן של AT&T היה 'להושיט יד ולגעת במישהו'? כנראה שפושעי סייבר לקחו את זה פשוטו כמשמעו באפריל השנה כשפנו ונגעו בנתוני יומן השיחות של יותר ממיליון לקוחות AT&T.

ב-19 באפריל, ל-AT&T נודע שפולשים טענו שיש להם גישה לנתונים שלה. לאחר מכן, הפולשים גנבו נתוני יומן של AT&T הקשורים לשיחות והודעות טקסט אלחוטיות בין ה-1 במאי ל-31 באוקטובר 2022. פרטי היומן היו מטא-נתונים, שהכילו מספרי טלפון שמשתמשים אלחוטיים התקשרו אליהם, כמה שיחות הם ביצעו וכמה זמן נמשכו השיחות במצטבר. זה כלל גם מספרי זיהוי של אתרים סלולריים עבור חלק מאותן שיחות.

הנתונים הגנובים לא כללו PII כגון תוכן שיחות או טקסט, מספרי ביטוח לאומי או תאריכי לידה. עם זאת, כפי ש-AT&T מציינת בה הגשת SEC לאירוע, "בעוד שהנתונים אינם כוללים שמות לקוחות, ישנן בדרך כלל דרכים, באמצעות כלים מקוונים זמינים לציבור, למצוא את השם המשויך למספר טלפון ספציפי." הכללת מזהי אתרים סלולריים גם מאפשרת לאנשים להשתמש במערך הנתונים הזה כדי לנתח את מיקומם של חלק מהשיחות הללו - ולפיכך גם לבעלי המספרים.

שישה חודשים של יומני שיחות מכילים כמות גדולה של נתונים. AT&T הצהירה כי היא תודיע ל-110 מיליון לקוחות שנתוני השיחות שלהם היו מעורבים בפרצת הנתונים. בהגשתה, היא אמרה שהיא לא מאמינה שהנתונים הפכו זמינים לציבור.

AT&T הגישה את בקשת ה-SEC בגין ההפרה ב-12 ביולי, הרחק מחוץ לחלון של ארבעת הימים. זה עיכב את ההגשה בהסכמה לבקשת משרד המשפטים, שכן משרד המשפטים החליט שהגשת הדו"ח בתוך פרק הזמן הרגיל של ארבעת הימים המבוקש על ידי ה-SEC תהיה עלולה להיות מסוכנת. זה הגיוני, בהתחשב בכך שההפרה נמשכה ככל הנראה לאחר שהטלקו נודע לראשונה על חדירתם של שחקני האיום. נתוני יומן השיחות נגנבו ימים לאחר ש-AT&T אמרה ששמעה על החדירה.

הפרצה כלל לא התרחשה במערכות של AT&T. במקום זאת, זה קרה דרך ספק ענן צד שלישי שהחברה זיהתה בעיתונות כחברת מחסני נתונים מבוססת ענן Snowflake. זו לא הייתה גניבת הנתונים היחידה כזו מפתית שלג; לפי Mandiant, ל-165 לקוחות נגנבו הנתונים שלהם ממערכות האחסון של החברה. עם זאת, נראה כי זו לא הייתה פגיעות קידוד בתוכנה של Snowflake. ללקוחות שהיו קורבנות של גניבות אלה, שכללו מותגים כמו Ticketmaster, היה דבר אחד במשותף: אישורי החשבון שלהם נגנבו באמצעות תוכנה זדונית, והם לא השתמשו באימות רב-גורמי.

מה אנחנו יכולים ללמוד מפריצת AT&T/פתיתי שלג?

כולנו יכולים ללמוד מהטעויות של לקוחות שנפגעו מהפרת Snowball, אומרים מומחים. "לארגונים צריכה להיות הבנה ברורה של מודל האחריות המשותפת באבטחה שמגיע עם קשרי ספקים וליישם בקרות ניהול זהות וגישה חזקות בפלטפורמות ענן", אומרת Milda Petraityte, חוקרת בחברת הייעוץ S-RM לאבטחת סייבר.

Snowflake נקטה פעולה משלה, והציגה יכולת חדשה למנהלי לקוחות לאכוף MFA חובה ב-9 ביולי, כמעט שלושה חודשים לאחר שהחלו שלל כניסות לא מורשות למערכות שלה. זו התחלה, אבל אפשר לתהות מדוע התכונה הזו לא הייתה במקום כבר - או מדוע, ברוח אבטחת הסייבר האמיתית, יהיה מודל פעולה אחר מלבד MFA חובה.

חברות עדיין בפיגור הרחק בשימוש ב-MFA. לְפִי מצב אבטחת הסייבר של CompTIA לשנת 2024 מדווח, רק 41% מהחברות כוללות שימוש ב-MFA באסטרטגיות אבטחת הסייבר שלהן. רק 38% משתמשים בצורה כלשהי של ניהול עומסי עבודה בענן.

הבעיה הנוספת שגרמה לחברות לצרות הייתה אי זיהוי והפחתת גניבת האישורים. "כמה חברות לא ידעו שנפגעו עם גנבי מידע, אז האישורים שלהן היו זמינים ברשת האפלה", מציינת סטפני שניידר, אנליסטית מודיעין איומי סייבר בחברת LastPass למנהל סיסמאות. איתור הוא שלב קריטי בכל תוכנית תגובה לאירוע. מכיוון שחברות לא הצליחו לזהות את ההדבקה בתוכנה זדונית שהובילה לגניבת אישורים ולאחר מכן לא יישמו הגנת גישה נוספת, הן השאירו את עצמן פגיעות.

חברות יכולות ללמוד על שיטות אבטחה כמו אלה בתקני אבטחת סייבר נפוצים. לדוגמה, ISO 270001 מזכיר במפורש שיטות אימות מאובטחות כגון אימות מכשיר חיצוני נספח א' 8.5 תיעוד. הוא גם מזכיר אמצעים כגון בדיקה ומניעת שימוש בתוכנה לא מורשית, הגנות מעמיקות על תוכנות זדוניות על פני מספר נקודות תשתית והכשרת עובדים להיות מודעים להנדסה חברתית והתקנת תוכנות זדוניות ב- בקרה 8.7 - הגנה מפני תוכנות זדוניות.

יישום אמצעים כאלה ביעילות עשוי היה לסייע במניעת אסון פתיתי השלג של AT&T, יחד עם הפרות של חברות רבות אחרות באמצעות השירות מבוסס הענן. עם זאת, לטלקו היו אירועי אבטחת סייבר אחרים להתמודד איתם.

במרץ השנה, AT&T הצהירה כי PII מ-73 מיליון לקוחות מרחף ברשת האפלה, והיא לא יודעת מאיפה המידע הגיע. הנתונים האלה, שעלו מתוך פשרה ב-2021, הספיקו כדי לעורר א תביעה ייצוגית מלקוחות מתוסכלים.

בינואר 2023, הטלקו דיווחה כי PII מתשעה מיליון חשבונות לקוחות נפרץ דרך אחד משותפי השיווק של צד שלישי שלה. זה מדגיש את הצורך בהערכות איתנות של ספקים ובביקורות אבטחה מתמשכות של צד שלישי כדי לסייע לאבטחת לא רק את הרשת של החברה עצמה אלא את כל מערכת האקולוגית של הנתונים שלה.

ניהול סוג כזה של מערכת אקולוגית הוא אתגר עבור חברה רחבת ידיים כמו AT&T, במיוחד בהתחשב בכך שהיא גם מכר את נתוני המיקום הגיאוגרפי של לקוחות לצדדים שלישיים ללא הסכמתם. זהו גם סימן לכך שאנו זקוקים לפעולות רגולטוריות נוספות כדי לאלץ את החברות הללו ליישם בקרות אבטחה ופרטיות חזקות.

דני ברדברי

דני ברדבורי הוא עיתונאי דפוס המתמחה בטכנולוגיה מאז 1989 וכותב עצמאי מאז 1994. הוא כתב עבור פרסומים לאומיים משני צדי האוקיינוס האטלנטי וזכה בפרסים על עבודתו העיתונות החוקרת בתחום אבטחת הסייבר.