Mega-Sicherheitspanne: Cyberkriminelle ergattern Daten fast aller AT&T-Kunden

AT&T hat am Freitag ein massives Security-Versagen eingeräumt. "Wir haben erfahren, dass Kundendaten von AT&T illegal von unserem Arbeitsplatz auf einer Cloud-Plattform eines Drittanbieters heruntergeladen wurden", erklärte der US-Telekommunikationsgigant auf seiner Webseite. "Wir haben eine Untersuchung eingeleitet und führende Cybersicherheitsexperten hinzugezogen, um Art und Umfang des Problems zu ermitteln". Herausgestellt habe sich, "dass die heruntergeladenen Daten Telefongesprächs- und SMS-Aufzeichnungen von fast allen AT&T-Mobilfunkkunden vom 1. Mai 2022 bis zum 31. Oktober 2022 sowie vom 2. Januar 2023 enthielten. Anhand dieser Metadaten ließen sich andere Telefonnummern identifizieren, "mit denen eine AT&T-Mobilfunknummer während dieser Zeit interagierte". Darunter seien auch Festnetzkunden.

Zu den kompromittierten Daten gehören nach Angaben des Konzerns mit Telefonanrufen und Textnachrichten verknüpfte Identifikationsnummern von Mobilfunkstandorten. Mit diesen Informationen lässt sich der Standort eines Handy-Nutzers ermitteln, woraus sich wiederum Bewegungsprofile erstellen lassen. Enthalten sind dem Unternehmen zufolge auch Metadaten von Kunden mit Telefondiensten anderer Mobilfunkanbieter, die auf dem Netzwerk von AT&T aufbauen. Aus den Verbindungsinformationen gingen zudem die Anzahl getätigter Anrufe oder versandter SMS sowie die Gesamtdauer der Gespräche für bestimmte Tage oder Monate hervor.

Inhalte der Anrufe und Kurzmitteilungen gehörten nicht zu dem heruntergeladenen Archiv, betont AT&T. Es seien auch keine Zeitstempel vorhanden. Ebenfalls nicht betroffen seien "Details" wie Sozialversicherungsnummern, Geburtsdaten oder andere personenbezogene Informationen. Die Namen von Kunden, die einer Telefonnummer zugeordnet sind, ließen sich aber etwa mithilfe öffentlich verfügbarer Online-Instrumente herausfinden. Der Zugangspunkt ist laut dem Netzbetreiber inzwischen "gesichert" worden, sodass derzeit ein weiterer Abfluss nicht zu befürchten sei. Man gehe aktuell nicht davon aus, "dass die Daten öffentlich verfügbar sind". Eine AT&T-Sprecherin erklärte gegenüber TechCrunch, dass rund 110 Millionen eigene Kunden über die massive Panne informiert werden müssten.

US-Bürger soll in der Türkei verhaftet worden sein

Dem Bericht zufolge betraf das schon im April entdeckte Leck den Cloud-Datengiganten Snowflake. Dieser war unlängst Ziel mehrerer Angriffe geworden, bei denen Kundendaten rechtswidrig kopiert und teils bereits im Darknet zum Kauf angeboten wurden. Der Anbieter ermöglicht es seinen Unternehmenskunden, riesige Mengen an Informationen über Endnutzer in den Rechnerwolken zu analysieren. Betroffen von den Attacken waren beispielsweise Ticketmaster (Live Nation) mit Karten für Taylor-Swift-Konzerte und QuoteWizard. Snowflake hat seine Kunden für die Security-Verletzungen verantwortlich gemacht, weil sie keine Multi-Faktor-Authentifizierung zur Sicherung ihrer Konten verwendet hätten.

"Wir arbeiten weiterhin mit den Strafverfolgungsbehörden zusammen, um Beteiligte" an dem Datenklau dingfest zu machen, teilte AT&T mit. "Nach den uns vorliegenden Informationen gehen wir davon aus, dass mindestens eine Person festgenommen wurde". Laut 404 Media handelt es sich dabei um den US-Bürger John Binns, der jüngst an seinem langjährigen Aufenthaltsort in der Türkei verhaftet worden sei. Der Cybergangster bekannte sich 2021 zu einem Einbruch in die Server von T-Mobile in den USA, bei dem er aufgrund mangelhafter Sicherheitsvorkehrungen relativ einfach an Millionen Kundendaten gelangt war.

In einem Blogbeitrag zu dem Snowflake-Fall schrieb die IT-Sicherheitsfirma Mandant im Juni, dass die als UNC5537 bezeichnete Cyberbande, aus Personen mit Wohnsitz "in Nordamerika besteht und mit einem weiteren Mitglied in der Türkei zusammenarbeitet". AT&T sah sich dieses Jahr bereits gezwungen, die Passwörter von Millionen Kunden zurückzusetzen, nachdem die Zugangsdaten in einem Cybercrime-Forum aufgetaucht waren.

(usz)