미국의 통신 서비스 제공업체인 AT&T는 위협 행위자들이 AT&T의 무선 네트워크를 사용하는 자사 무선 고객과 MVNO(가상 이동통신 사업자) 고객의 “거의 전부”의 데이터에 액세스하는 데 성공했다고 확인했습니다.
“위협 행위자들은 제3자 클라우드 플랫폼에서 AT&T 작업 공간에 불법적으로 액세스하여 2024년 4월 14일과 4월 25일 사이에 2022년 5월 1일과 10월 31일 사이, 그리고 2023년 1월 2일에 발생한 AT&T 고객 통화 및 문자 상호 작용 기록이 담긴 파일을 추출했습니다.”라고 밝혔습니다.
여기에는 AT&T 또는 MVNO 무선 번호가 상호 작용한 전화번호가 포함됩니다. 여기에는 AT&T 유선 전화 고객과 다른 통신사 고객의 전화번호, 해당 상호 작용 횟수, 하루 또는 한 달 동안의 총 통화 시간이 포함됩니다.
이러한 기록의 하위 집합에는 하나 이상의 셀 사이트 식별 번호도 포함되어 있어 위협 행위자가 전화를 걸거나 문자 메시지를 보낼 때 고객의 대략적인 위치를 삼각 측량할 수 있습니다. AT&T는 현재 및 이전 고객에게 정보가 관련되면 경고할 것이라고 밝혔습니다.
“위협 행위자들은 이전 침해에서 얻은 데이터를 사용하여 전화번호를 신원에 매핑했습니다.” 전 NSA 해커이자 IANS Research의 교수인 제이크 윌리엄스가 말했습니다. “위협 행위자들이 여기서 훔친 것은 사실상 통화 데이터 기록(CDR)인데, 이는 누가 누구와 언제 통화하는지 이해하는 데 사용할 수 있기 때문에 정보 분석에서 금광입니다.”
AT&T의 MVNO 목록에는 Black Wireless, Boost Infinite, Consumer Cellular, Cricket Wireless, FreedomPop, FreeUp Mobile, Good2Go, H2O Wireless, PureTalk, Red Pocket, Straight Talk Wireless, TracFone Wireless, Unreal Mobile, Wing이 포함됩니다.
블룸버그에 따르면 AT&T는 제3자 클라우드 공급업체의 이름을 공개하지 않았지만 스노우플레이크는 이후 해당 침해가 티켓마스터, 산탄더, 니먼 마커스, 렌딩트리 등 다른 고객에게 영향을 미친 해킹과 관련이 있다는 것을 확인했습니다.
이 회사는 2024년 4월 19일에 이 사건을 알게 되었고, 즉시 대응 노력을 시작했다고 밝혔습니다. 또한, 관련자들을 체포하기 위해 법 집행 기관과 협력하고 있으며, “적어도 한 명이 체포되었습니다.”라고 덧붙였습니다.
404 Media는 2024년 5월 터키에서 체포된 적이 있는 24세 미국 시민 존 빈스가 보안 사건과 관련이 있다고 보도하며 이름을 밝히지 않은 3명의 소식통을 인용했습니다. 그는 또한 2021년 T-Mobile에 침투하여 고객 데이터를 판매한 혐의로 미국에서 기소되었습니다.
그러나 접근된 정보에는 통화나 문자 내용이나 주민등록번호, 생년월일 또는 기타 개인 식별 정보와 같은 개인정보는 포함되지 않는다고 강조했습니다.
“해당 데이터에는 고객 이름이 포함되어 있지 않지만 공개적으로 이용 가능한 온라인 도구를 사용하면 특정 전화번호와 관련된 이름을 찾을 수 있는 방법이 종종 있습니다.” 미국 증권거래위원회(SEC)에 제출한 양식 8-K에 나와 있는 내용입니다.
또한 사용자에게 신뢰할 수 있는 발신자의 문자 메시지만 열어 피싱, 스미싱 및 온라인 사기를 조심하라고 촉구하고 있습니다. 게다가 고객은 불법으로 다운로드된 데이터에서 전화 및 문자의 전화번호를 가져오라는 요청을 제출할 수 있습니다.
Snowflake를 표적으로 삼은 악성 사이버 캠페인으로 165명의 고객이 표적이 되었으며, Google 소유의 Mandiant는 이 활동을 “북미에 기반을 둔 회원과 터키의 다른 회원과 협력하는” UNC5537이라는 재정적 동기를 가진 위협 행위자의 탓으로 돌렸습니다.
범죄자들은 도난당한 데이터에 대한 대가로 30만 달러에서 500만 달러 사이의 지불을 요구했습니다. 최근의 동향은 사이버 범죄의 여파가 범위가 확대되고 있으며 연쇄 효과를 냈다는 것을 보여줍니다.
WIRED는 지난달 Snowflake 데이터 도난의 배후에 있는 해커들이 사용자 이름, 비밀번호, 인증 토큰에 대한 액세스를 판매하는 다크 웹 서비스에서 도난된 Snowflake 자격 증명을 조달한 방법을 공개했습니다. 이는 도난 맬웨어에 의해 캡처되었습니다. 여기에는 EPAM Systems라는 제3자 계약자를 통해 액세스를 얻는 것도 포함되었습니다.
Snowflake는 이번 주에 관리자가 이제 모든 사용자에게 의무적 다중 요소 인증(MFA)을 시행하여 계정 인수 위험을 완화할 수 있다고 발표했습니다. 또한 새로 생성된 Snowflake 계정의 모든 사용자에게 곧 MFA를 요구할 것이라고 밝혔습니다.
