Composez le B pour violation : comment les attaquants ont détruit les journaux téléphoniques de 110 millions de clients d'AT&T

Vous vous souvenez du début des années 80, lorsque le slogan d'AT&T était « Reach Out and Touch Someone » ? Apparemment, les cybercriminels ont pris cela au pied de la lettre en avril de cette année lorsqu'ils ont contacté et touché les données du journal d'appels de plus d'un million de clients d'AT&T.

Le 19 avril, AT&T a appris que des intrus prétendaient avoir accès à ses données. Les intrus ont ensuite volé les données du journal AT&T relatives aux appels et SMS sans fil entre le 1er mai et le 31 octobre 2022. Les informations du journal étaient des métadonnées, contenant les numéros de téléphone que les utilisateurs sans fil ont appelés, le nombre d'appels qu'ils ont passés et la durée totale des appels. Il comprenait également les numéros d’identification des sites cellulaires pour certains de ces appels.

Les données volées n'incluaient pas les informations personnelles telles que le contenu des appels ou des SMS, les numéros de sécurité sociale ou les dates de naissance. Cependant, comme le note AT&T dans son Dépôt SEC pour l'incident, "Bien que les données n'incluent pas les noms des clients, il existe souvent des moyens, en utilisant des outils en ligne accessibles au public, de trouver le nom associé à un numéro de téléphone spécifique." L'inclusion des identifiants de sites cellulaires permet également aux utilisateurs d'utiliser cet ensemble de données pour analyser l'emplacement de certains de ces appels – et, par conséquent, les propriétaires des numéros.

Six mois de journaux d’appels contiennent une grande quantité de données. AT&T a déclaré qu'elle informerait 110 millions de clients dont les données d'appel étaient impliquées dans la violation de données. Dans son dossier, il a déclaré qu'il ne pensait pas que les données avaient été rendues publiques.

AT&T a soumis le dossier à la SEC pour violation le 12 juillet, bien en dehors de la fenêtre de quatre jours. Il a retardé le dépôt conformément à la demande du ministère de la Justice, le DOJ ayant décidé que le dépôt du rapport dans le délai normal de quatre jours demandé par la SEC serait potentiellement dangereux. Cela est logique, étant donné que la violation était apparemment en cours après que l'entreprise de télécommunications ait eu connaissance pour la première fois de l'intrusion des acteurs menaçants. Les données du journal d'appels ont été volées quelques jours après qu'AT&T a déclaré avoir entendu parler de l'intrusion.

La violation ne s'est pas du tout produite dans les systèmes d'AT&T. Au lieu de cela, cela s'est produit via un fournisseur de cloud tiers que la société a identifié dans la presse comme étant la société d'entreposage de données basée sur le cloud Snowflake. Ce n’était pas le seul vol de données de ce type commis par Snowflake ; selon Mandiant, 165 clients ont vu leurs données volées dans les systèmes de stockage de l'entreprise. Cependant, cela ne semble pas être une vulnérabilité de codage dans le logiciel de Snowflake. Les clients victimes de ces vols, parmi lesquels des marques comme Ticketmaster, avaient un point commun : leurs identifiants de compte avaient été volés via un malware et ils n'utilisaient pas d'authentification multifacteur.

Que pouvons-nous apprendre de la violation AT&T/Snowflake ?

Nous pouvons tous tirer des leçons des erreurs des clients touchés par la violation de Snowball, affirment les experts. « Les organisations doivent avoir une compréhension claire du modèle de responsabilité partagée en matière de sécurité qui accompagne les relations avec les fournisseurs et mettre en œuvre des contrôles robustes de gestion des identités et des accès sur les plateformes cloud », déclare Milda Petraityte, chercheuse au cabinet de conseil en cybersécurité S-RM.

Snowflake a pris des mesures de son côté, en introduisant une nouvelle fonctionnalité permettant aux administrateurs des clients de appliquer l’AMF obligatoire le 9 juillet, près de trois mois après le début de la vague de connexions non autorisées à ses systèmes. C'est un début, mais on se demande pourquoi cette fonctionnalité n'était pas déjà en place – ou pourquoi, dans l'esprit d'une véritable cybersécurité, il existerait un autre modèle opérationnel que l'AMF obligatoire.

Les entreprises sont encore très en retard dans l’utilisation de l’AMF. Selon État de la cybersécurité 2024 de CompTIA rapport, seulement 41 % des entreprises incluent l’utilisation de la MFA dans leurs stratégies de cybersécurité. Seulement 38 % utilisent une forme de gouvernance des charges de travail cloud.

L’autre problème qui a causé des problèmes aux entreprises était l’incapacité à détecter et à atténuer le vol d’identifiants. « Plusieurs entreprises ne savaient pas qu'elles avaient été compromises par des voleurs d'informations, leurs informations d'identification étaient donc disponibles sur le dark web », souligne Stephanie Schneider, analyste en matière de renseignements sur les cybermenaces chez la société de gestion de mots de passe LastPass. La détection est une étape critique de tout plan de réponse aux incidents. Parce que les entreprises n'ont pas réussi à détecter l'infection par un logiciel malveillant qui a conduit au vol d'identifiants et n'ont pas mis en œuvre une protection d'accès supplémentaire, elles se sont rendues vulnérables.

Les entreprises peuvent en apprendre davantage sur les pratiques sécurisées telles que celles-ci dans les normes communes de cybersécurité. Par exemple, la norme ISO 270001 mentionne explicitement les méthodes d'authentification sécurisées telles que l'authentification des appareils externes dans son Annexe A 8.5 documentation. Il mentionne également des mesures telles que la vérification et la prévention de l'utilisation de logiciels non autorisés, une défense en profondeur contre les logiciels malveillants sur plusieurs points d'infrastructure et la formation des employés à la sensibilisation à l'ingénierie sociale et à l'installation de logiciels malveillants dans Contrôle 8.7—Protection contre les logiciels malveillants.

La mise en œuvre efficace de telles mesures aurait pu contribuer à prévenir le désastre Snowflake d'AT&T, ainsi que les violations de nombreuses autres entreprises via le service cloud. Cependant, l’entreprise de télécommunications a dû faire face à d’autres incidents de cybersécurité.

En mars de cette année, AT&T a déclaré que les informations personnelles de 73 millions de clients circulaient sur le dark web et ne savait pas d'où venaient ces informations. Ces données, issues d’un compromis en 2021, ont suffi à déclencher une action en recours collectif de clients frustrés.

En janvier 2023, la société de télécommunications a signalé que les informations personnelles de neuf millions de comptes clients avaient été compromises via l'un de ses partenaires marketing tiers. Cela met en évidence la nécessité d'évaluations rigoureuses des fournisseurs et d'audits de sécurité tiers continus pour aider à sécuriser non seulement le propre réseau de l'entreprise, mais également l'ensemble de son écosystème de données.

Gérer ce type d'écosystème est un défi pour une entreprise aussi tentaculaire qu'AT&T, d'autant plus qu'elle vendu les données de géolocalisation des clients à des tiers sans leur consentement. C’est également le signe que nous avons besoin de davantage de mesures réglementaires pour forcer ces entreprises à mettre en œuvre des contrôles robustes en matière de sécurité et de confidentialité.