Телекоммуникационный гигант AT&T вновь оказался в центре крупного инцидента кибербезопасности. На хакерских форумах появилась обновленная версия базы данных с персональной информацией 70 миллионов клиентов компании, первоначально скомпрометированной в 2021 году. Особую опасность представляет тот факт, что злоумышленники успешно расшифровали и структурировали ранее зашифрованные данные.
Анализ нового инцидента безопасности
Согласно официальному заявлению представителей AT&T, компания инициировала комплексное расследование после обнаружения продажи клиентских данных на площадках даркнета. «Киберпреступники нередко используют раскрытые ранее данные для получения финансовой выгоды», — подчеркивают в корпорации, настаивая на том, что опубликованная информация представляет собой переработку предыдущей утечки.
Издание HackRead сообщило о публикации данных на популярном русскоязычном хакерском форуме. Злоумышленник утверждал, что информация была получена в результате атак на облачную платформу Snowflake в 2024 году, которые затронули множество корпораций и привели к компрометации журналов звонков 109 миллионов пользователей AT&T.
Истинное происхождение утечки: след группировки ShinyHunters
Детальный анализ, проведенный экспертами BleepingComputer, опровергает связь с инцидентами Snowflake. Исследование показало, что опубликованные данные фактически происходят из взлома AT&T в 2021 году, осуществленного известной хакерской группировкой ShinyHunters, которая первоначально пыталась продать украденную информацию за 200 000 долларов.
В марте 2024 года другой киберпреступник опубликовал полный архив данных AT&T в открытом доступе, подтвердив их происхождение из атаки 2021 года. Первоначальный дамп содержал зашифрованные номера социального страхования и даты рождения, что ограничивало потенциальный ущерб для пострадавших.
Масштаб и структура скомпрометированных данных
Новая версия утечки содержит 88 320 017 записей, которые после удаления дубликатов сокращаются до 86 017 088 уникальных записей. Дальнейший анализ выявил 48 896 044 уникальных телефонных номера с соответствующей клиентской информацией.
Критическое отличие текущей публикации заключается в том, что злоумышленники расшифровали и связали воедино:
- Полные имена и адреса клиентов
- Номера мобильных телефонов
- Незашифрованные номера социального страхования
- Даты рождения в открытом виде
- Дополнительную внутреннюю информацию об абонентах
Эволюция киберугроз и долгосрочные риски
Данный инцидент демонстрирует опасную тенденцию в сфере кибербезопасности: злоумышленники продолжают разрабатывать и монетизировать украденные данные спустя годы после первоначальной атаки. Расшифровка ранее защищенной информации значительно увеличивает риски для пострадавших пользователей.
AT&T первоначально отрицала принадлежность утекших данных своим клиентам, однако впоследствии была вынуждена официально подтвердить инцидент, затронувший 73 миллиона человек. Такая задержка в признании создает дополнительные риски, поскольку пользователи не получают своевременных предупреждений о необходимости принятия защитных мер.
Повторная публикация и улучшение качества скомпрометированных данных AT&T подчеркивает критическую важность проактивного подхода к кибербезопасности. Организациям следует не только инвестировать в первичную защиту, но и разрабатывать долгосрочные стратегии мониторинга утечек, включая отслеживание активности на хакерских форумах и своевременное информирование пострадавших о эволюции угроз.
