Американський телекомунікаційний гігант AT&T знову опинився в епіцентрі серйозного інциденту кібербезпеки. На підпільних хакерських майданчиках з’явилася оновлена версія бази даних з персональною інформацією 70 мільйонів користувачів, яка була вперше скомпрометована у 2021 році. Критична відмінність полягає в тому, що кіберзлочинці успішно розшифрували раніше захищені дані, значно підвищивши ризики для постраждалих.
Походження витоку: від ShinyHunters до масового розповсюдження
Детальне розслідування експертів BleepingComputer встановило справжнє джерело інциденту. Опубліковані дані насправді походять з атаки 2021 року, проведеної відомою хакерською групою ShinyHunters, яка спочатку намагалася продати скомпрометовану інформацію за 200 тисяч доларів.
У березні 2024 року інший кіберзлочинець оприлюднив повний архів даних AT&T у відкритому доступі. Первісний дамп містив зашифровані номери соціального страхування та дати народження, що обмежувало потенційну шкоду. Однак нова версія витоку демонструє повністю розшифровані та структуровані дані.
Масштаб компрометації: аналіз скомпрометованих записів
Оновлена база даних налічує 88 320 017 записів, які після видалення дублікатів скорочуються до 86 017 088 унікальних записів. Подальший аналіз виявив 48 896 044 унікальних телефонних номерів з відповідною клієнтською інформацією.
Найнебезпечніший аспект поточної публікації полягає в тому, що зловмисники розшифрували та об’єднали критично важливі дані:
- Повні імена та адреси користувачів
- Номери мобільних телефонів
- Незахищені номери соціального страхування
- Дати народження у відкритому вигляді
- Додаткову внутрішню інформацію про абонентів
Хибні твердження про зв’язок з атаками на Snowflake
Зловмисник на російськомовному хакерському форумі стверджував, що інформація була отримана внаслідок атак на хмарну платформу Snowflake у 2024 році, які торкнулися багатьох корпорацій та призвели до компрометації журналів дзвінків 109 мільйонів користувачів AT&T.
Проте експертний аналіз спростовує цей зв’язок. Дослідження підтверджує, що опубліковані дані фактично походять з більш раннього інциденту, здійсненого групою ShinyHunters три роки тому.
Еволюція кіберзагроз: довгострокові ризики
Цей інцидент ілюструє тривожну тенденцію в кібербезпеці: злочинці продовжують розробляти та монетизувати вкрадені дані роками після первісної атаки. Розшифровка раніше захищеної інформації створює нові вектори загроз для постраждалих користувачів.
AT&T спочатку заперечувала належність витікших даних своїм клієнтам, але згодом була змушена офіційно підтвердити інцидент, який торкнувся 73 мільйонів осіб. Така затримка у визнанні створює додаткові ризики, оскільки користувачі не отримують своєчасних попереджень про необхідність вжиття захисних заходів.
Повторна публікація та поліпшення якості скомпрометованих даних AT&T підкреслює критичну важливість проактивного підходу до кібербезпеки. Організаціям варто не лише інвестувати в первинний захист, але й розробляти довгострокові стратегії моніторингу витоків, включаючи відстеження активності на хакерських форумах та своєчасне інформування постраждалих про еволюцію загроз.
