Los cibercriminales habrían violado un entorno de Snowflake durante abril y robaron registros de llamadas y mensajes de texto de los clientes correspondientes a un período de seis meses.
El grupo de telecomunicaciones estadounidense AT&T hizo público en días recientes sobre una significativa brecha de datos que compromete a casi todos sus clientes de telefonía móvil.
AT&T retrasó la divulgación de información en virtud de la exención de seguridad pública de las normas de la SEC (el órgano regulador de la bolsa a la cual se deben informar sobre los incidentes d ciberseguridad en los Estados Unidos).
Los actores maliciosos -aún no identificados públicamente-, robaron los registros de llamadas de aproximadamente 109 millones de clientes, abarcando casi todos sus usuarios móviles (AT&T tiene alrededor de 115 millones de clientes de telefonía inalámbrica), a partir de una base de datos en la cuenta en un entorno de Snowflake de la compañía.
La empresa no mencionó directamente a éste proveedore como responsable, limitándose a señalar que los datos de los clientes se “descargaron ilegalmente de nuestro espacio de trabajo en una plataforma en la nube de terceros”.
El robo de datos ocurrió entre los días 14 y 25 de abril de este año. El detalle del incidente se encuentra en el formulario 8-K presentado ante la SEC el pasado viernes por la mañana, y en elñ AT&T informó que los datos comprometidos incluyen registros de llamadas y mensajes de texto de casi todos los clientes móviles de AT&T y los usuarios de operadores de redes virtuales móviles (MVNO) realizados entre el 1 de mayo y el 31 de octubre de 2022 y el 2 de enero de 2023.
En síntesis, la información robada abarca números de teléfono de clientes de líneas fijas de AT&T y de otros operadores; números de teléfono con los que interactuaron los números inalámbricos de AT&T o MVNO; número de interacciones (por ejemplo, la cantidad de llamadas o mensajes de texto); la duración total de las llamadas por día o mes; y para algunos registros, uno o más números de identificación de sitio celular.
La empresa indicó que los registros expuestos no contenían el contenido de las llamadas o mensajes de texto, nombres de los clientes ni otra información personal como números de seguro social o fechas de nacimiento.
Pese a que los registros no incluían información directamente identificable, los metadatos de las comunicaciones pueden usarse para correlacionar con información pública y, en muchos casos, deducir identidades fácilmente, lo que potencialmente puede utilizarse en un ciberataque de phishing.
Además de notificar a las autoridades, tras descubrir la vulneración, AT&T trabajó con expertos en ciberseguridad.
El Departamento de Justicia de Estados Unidos permitió a AT&T en dos oportunidades, el 9 de mayo y el 5 de junio de 2024, retrasar la notificación pública debido a los posibles riesgos para la seguridad nacional y pública.
«Tras identificar una posible violación de los datos de los clientes y antes de determinar su magnitud, AT&T contactó al FBI para informar del incidente. Todas las partes evaluaron una posible demora en los informes públicos según el punto 1.05(c) de la norma de la SEC, debido a los riesgos potenciales para la seguridad nacional y/o pública», explicaron las autoridades del FBI a los medios.
Durante el período solicitado para demorar la entrega de información pública, el FBI y el Departamento de Justicia de los Estados Unidos trabajaron en conjunto con la empresa, compartiendo información clave sobre amenazas para reforzar las acciones de investigación y apoyar la respuesta del incidente desde AT&T.
AT&T también está cooperando con las autoridades para ubicar a los responsables. Este esfuerzo conjunto ha logrado dar con el paradero y arresto de al menos uno de los cibercriminales involucrados.
La empresa también informó que ha implementado medidas adicionales de ciberseguridad para prevenir futuros accesos no autorizados y se comprometió a notificar a los clientes actuales y anteriores afectados por este incidente.
Pese a que el incidente apunta a una vulnerabilidad en el entorno de Snowflake, el director de seguridad informática de ésta señaló que «No hemos identificado evidencia que sugiera que esta actividad fue causada por una vulnerabilidad, una configuración incorrecta o una violación de la plataforma de Snowflake».
La empresa agregó que había realizado investigaciones con expertos externos en seguridad cibernética Mandiant y CrowdStrike para corroborar sus hallazgos.
Anteriormente se han vinculado otros incidentes importantes a Snowflake, como los acaecidos en Ticketmaster y Banco Santander, en el que también ser vieron involucrados clientes en Chile.