- Telefonanbieter wie AT&T stehen seit Jahrzehnten im Mittelpunkt von Datenschutzbedenken, insbesondere nach einem kürzlichen Datenleck. . Das Datenleck bei AT&T betrifft Anruf- und Textmessaging-Daten “fast aller” seiner Kunden, insgesamt etwa 110 Millionen Menschen. . Angreifer haben die Daten zwischen dem 14. und 25. April abgeschöpft, und AT&T wurde am 19. April informiert. . Die gestohlenen Daten umfassen Telefonnummern und Metadaten über Anrufe und Texte, einschließlich Anrufdauern und Funkmastdaten. . Trotz fehlender identifizierender Kundeninformationen können die Metadaten für Phishing-Angriffe und Betrügereien genutzt werden. . Snowflake-Konto-Einbrüche, die von der Gruppe UNC5537 durchgeführt wurden, spielten eine zentrale Rolle bei der Datenkompromittierung, wobei Sicherheitsmaßnahmen nachträglich verbessert wurden.
von gezielten Überwachungsmaßnahmen bis hin zu massenhaften Überwachungsschleppnetzen – Telefonanbieter stehen seit Jahrzehnten im Mittelpunkt von Datenschutzbedenken. Und ihre Zeit im Rampenlicht ist noch nicht vorbei. Am Freitag gab der Telekommunikationsriese AT&T bekannt, dass es kürzlich zu einem Datenleck gekommen sei, das die Anruf- und Textmessaging-Daten “fast aller” seiner Kunden betrifft. Das Unternehmen befindet sich derzeit im Prozess, etwa 110 Millionen Menschen darüber zu informieren, dass sie betroffen sind.
AT&T teilte in einer Erklärung an die US-Börsenaufsichtsbehörde SEC mit, dass es am 19. April von dem Datenleck erfuhr. Angreifer haben zwischen dem 14. und 25. April Daten abgeschöpft. In seiner Einreichung an die SEC erklärte das Unternehmen, das US-Justizministerium habe die verzögerte Offenlegung des Vorfalls am 9. Mai und erneut am 5. Juni genehmigt, um die laufenden Ermittlungen zu gewährleisten. AT&T fügte hinzu, dass es “mit den Strafverfolgungsbehörden zusammenarbeitet, um die beteiligten Personen zu ergreifen.” Bisher wurde “mindestens eine Person festgenommen.”
Jake Williams’ Analyse
“Ja, das ist wirklich schlimm,” sagt Jake Williams, Vizepräsident für Forschung und Entwicklung bei der Cybersicherheitsberatung Hunter Strategy. “Die hier gestohlenen Daten sind essenziell Anrufdatensätze. Diese sind ein erstklassiges Material für die Geheimdienstanalyse, da sie es jemandem ermöglichen, Netzwerke zu verstehen – wer mit wem und wann spricht. Und die Bedrohungsakteure haben Daten aus früheren Kompromittierungen, um Telefonnummern mit Identitäten zu verknüpfen. Aber selbst ohne identifizierende Daten zu einer Telefonnummer sind geschlossene Netzwerke – in denen Nummern nur mit anderen im selben Netzwerk kommunizieren – fast immer interessant.”
Das Ereignis ist nicht nur wegen seines massiven Ausmaßes und der Reichweite bedeutend, sondern auch, weil AT&T sagt, es sei das neueste in einer Reihe von Angriffen, bei denen Angreifer die Snowflake-Cloud-Konten von Organisationen kompromittiert haben. Snowflake ist eine Datenverarbeitungsplattform, und Angreifer haben in den letzten Monaten die Kontozugangsdaten von etwa 165 Snowflake-Kunden, darunter Santander Bank und LendingTree’s QuoteWizard, gesammelt.
Danten und weitere Auffälligkeiten
Die AT&T-Daten stammen sowohl von Festnetz- als auch von Mobilfunkkonten und umfassen den Zeitraum vom 1. Mai 2022 bis zum 31. Oktober 2022. Eine kleinere, nicht näher genannte Anzahl von Personen hatte zudem Datensätze vom 2. Januar 2023, die bei dem Vorfall gestohlen wurden. Das Unternehmen erklärte am Freitag, dass die Daten “keine Inhalte von Anrufen oder Texten” enthalten und auch nicht das Datum und die Uhrzeit der Kommunikation umfassen. Aber Angreifer haben Telefonnummern und eine massive Menge sogenannter “Metadaten” über Anrufe und Texte entwendet, einschließlich wer wen kontaktiert hat, Anrufdauern und die Anzahl der gesamten Anrufe und Texte eines Kunden. Das Datenpaket umfasst auch einige Zellstellens Nummern – im Wesentlichen Daten von Funkmasten, die verwendet werden können, um den Standort eines Handys zu approximieren, wenn es einen Anruf oder eine Textnachricht empfing oder versandte.
Die Daten umfassen auch einige Datensätze von Personen, die Kunden von Telefonanbietern sind – bekannt als “mobile virtuelle Netzbetreiber” – die AT&T-Netze nutzen. Und, was entscheidend ist, der gestohlene Datensatz legt Personen offen, die keine Beziehung zu AT&T haben, wenn sie während der relevanten Zeiträume mit einem AT&T-Kunden kommunizierten.
Implikationen der Datenschutzverletzung
Obwohl der Vorfall nicht in jeder Hinsicht das schlimmste Szenario darstellt – die Daten enthalten beispielsweise keine identifizierenden Kundeninformationen wie Sozialversicherungsnummern – könnten sie ein Schatz für Angreifer sein, die überzeugende Phishing-Angriffe und andere Betrügereien planen, um Einzelpersonen oder spezifische Gemeinschaften anzugreifen. Und der Vorfall unterstreicht, dass auch ohne die Inhalte der Kommunikation, geleakte Metadaten erhebliche Auswirkungen auf die Privatsphäre und Sicherheit der Menschen haben können. Dies ist der Grund, warum Datenschützer schon lange einen Unterschied zwischen Kommunikationsplattformen gemacht haben, die darauf ausgelegt sind, das absolute Minimum an Metadaten zu erzeugen, im Vergleich zu anderen Plattformen, die den Metadateneinsatz nicht im gleichen Maße eindämmen, selbst wenn sie durchgehend verschlüsselt sind, wie beispielsweise WhatsApp.
Die Google-eigene Cybersicherheitsfirma Mandiant untersuchte die Reihe von Snowflake-Konto-Einbrüchen und stellte fest, dass finanziell motivierte Cyberkriminelle, bekannt unter dem Namen UNC5537, hinter den Angriffen stecken. Die Gruppe nutzte Informationsdiebstahl-Malware, um Zugangsdaten für die Snowflake-Konten von Unternehmen zu erbeuten und loggte sich dann leicht in Konten ein, bei denen die Zwei-Faktor-Authentifizierung nicht aktiviert war. Diese Sicherheitsfunktion war standardmäßig auf Snowflake-Konten deaktiviert. Snowflake hat seitdem Sicherheitsmaßnahmen eingeführt.
