- US-Telekommunikationsriese AT&T zahlte über 300.000 US-Dollar an Hacker, um die Löschung gestohlener Daten zu bestätigen. . Die Transaktion wurde im Mai in Höhe von 5,7 Bitcoin durchgeführt und durch Blockchain-Tracking-Tools bestätigt. . Sicherheitsforscher Reddington fungierte als Vermittler und bestätigte die Zahlung. . Betroffene Konten waren nicht mit Multi-Faktor-Authentifizierung gesichert, was den Hack erleichterte. . Der Datenleak umfasste Anruf- und Nachrichtenmetadaten, jedoch nicht die Inhalte oder Namen der Telefonbesitzer.
US-Telekommunikationsriese AT&T bekannte am Freitag, dass Hacker Daten entwendet hatten. Um die Löschung der Daten sicherzustellen und einen Videobeweis dafür zu erhalten, zahlte das Unternehmen einem Mitglied des Hacker-Teams über 300.000 US-Dollar. Der Hacker, Teil der berüchtigten ShinyHunters-Gruppe, gab an, dass AT&T das Lösegeld im Mai gezahlt hatte. Er lieferte die Adresse der Kryptowallet, von der das Geld überwiesen wurde, sowie die Adresse, die es empfing. Mithilfe eines Blockchain-Verfolgungstools bestätigte WIRED, dass am 17. Mai eine Transaktion in Höhe von 5,7 Bitcoin stattfand.
Details der Transaktion
Chris Janczewski, Leiter der globalen Ermittlungen bei TRM Labs, bestätigte ebenfalls, dass eine Transaktion in Höhe von etwa 5,72 Bitcoin (zum damaligen Wert etwa 373.646 US-Dollar) stattfand und dass das Geld durch mehrere Kryptowährungsbörsen und Wallets gewaschen wurde. Es gab jedoch keine Hinweise darauf, wer die Wallets kontrollierte. Ein Sicherheitsforscher, bekannt unter dem Online-Nickname Reddington, bestätigte ebenfalls die erfolgte Zahlung. Er fungierte als Vermittler bei den Verhandlungen zwischen dem Hacker und AT&T und erhielt dafür eine Gebühr von AT&T.
Der Hacker forderte anfänglich 1 Million US-Dollar, einigte sich jedoch letztlich auf ein Drittel der Summe. WIRED sah das Video, das der Hacker als Beweis der Datenlöschung an AT&T übermittelte.
Rolle von Reddington und der erste Kontakt
Reddington erklärte, dass Mitte April ein amerikanischer Hacker aus der Türkei – nicht der Hacker, der die Zahlung erhielt – ihn kontaktierte und behauptete, Reddingtons AT&T-Anrufprotokolle erlangt zu haben. Nach Bestätigung der Echtheit der Protokolle teilte der Hacker mit, auch Anruf- und Nachrichtenprotokolle von Millionen weiterer AT&T-Kunden durch ein schlecht gesichertes Cloud-Speicherkonto erhalten zu haben. Reddington informierte die Sicherheitsfirma Mandiant, welche dann AT&T benachrichtigte. AT&T erklärte gegenüber der Securities and Exchange Commission, dass man im April von dem Datenleck erfahren habe.
Reddington glaubt, dass das gesamte AT&T-Datenpaket, das der Hacker angeblich gestohlen hatte, gelöscht wurde, da der Hacker und ein Komplize Zugang zu dem gleichen Cloud-Server hatten und der Hacker die Daten von diesem Server löschte. AT&T gehört zu mehr als 150 Unternehmen, deren Daten durch schlecht gesicherte Snowflake-Konten während einer Hacking-Welle im April und Mai gestohlen wurden.
Keine Multi-Faktor-Authentifizierung
Es wurde berichtet, dass die betroffenen Konten nicht mit einer Multi-Faktor-Authentifizierung gesichert waren. Dadurch konnten die Hacker nach dem Erlangen der Benutzernamen, Passwörter und Autorisierungstokens auf die Speicherkonten der Unternehmen zugreifen und deren Daten abschöpfen. Neben AT&T waren auch andere bekannte Firmen betroffen.
Reddington stand in Kontakt mit mehreren betroffenen Unternehmen und half bei den Verhandlungen zur Rückgewinnung der Daten. Er erklärte, dass ein Hacker ihn bat, AT&T zu kontaktieren, um den Datenrückkauf zu erleichtern. Angesichts der Bedeutung der Daten und des potenziellen Schadens fühlte er sich verpflichtet, dafür zu sorgen, dass die Daten nicht an andere verkauft wurden.
Die Reaktion und Konsequenzen für AT&T
Laut AT&T umfassten die gestohlenen Daten Anruf- und Nachrichtenmetadaten, jedoch nicht die Inhalte von Anrufen oder Nachrichten oder die Namen der Telefonbesitzer. Die Daten enthielten Telefonnummern von nahezu allen Mobilfunkkunden von AT&T sowie von Kunden anderer Mobilfunkanbieter, die zwischen Mai und Oktober 2022 sowie am 2. Januar 2023 mit diesen kommunizierten. Ebenso enthalten waren Festnetznummern, die in diesem Zeitraum mit den betroffenen AT&T-Kunden kommunizierten. Ergänzende Informationen umfassten unter anderem Zellstandort-IDs, die die allgemeine Position und Bewegungen eines Telefonbenutzers hätten offenlegen können.
Erst am Freitag wurde der Vorfall öffentlich bekannt, nachdem AT&T diesen in einem Blogpost und seiner Meldung bei der SEC veröffentlichte. Das Justizministerium hatte AT&T erlaubt, die Benachrichtigung aufgrund eines möglichen nationalen Sicherheits- oder öffentlichen Sicherheitsrisikos zu verzögern. Die Hacker nannten Binns als Hauptverantwortlichen für den Vorfall.
