Am Freitag gab AT&T bekannt, dass Cyberkriminelle die Telefondaten von "fast allen" seinen Kunden gestohlen haben, was dazu führen wird, dass das Unternehmen etwa 110 Millionen Menschen benachrichtigen muss.
AT&T sagte, dass die gestohlenen Daten Aufzeichnungen enthielten, welche Telefonnummern ein bestimmter Kunde angerufen und angetextet hat, die Gesamtanzahl der Anrufe und Texte sowie die Anrufdauer für einen Zeitraum von sechs Monaten zwischen dem 1. Mai 2022 und dem 31. Oktober 2022. AT&T sagte, dass die gestohlenen Daten keine Inhalte von Anrufen oder Texten enthalten, noch deren Zeit oder Datum.
Für einige der betroffenen Kunden waren die Cyberkriminellen auch in der Lage, Zellenstandorterkennungsnummern zu stehlen, die mit Telefonanrufen und Textnachrichten verbunden waren, so AT&T. Das bedeutet, dass - potenziell - jemand diese Informationen nutzen könnte, um den ungefähren Standort eines Kunden herauszufinden.
"Dies kann enthüllen, wo jemand lebt, arbeitet, seine Freizeit verbringt, mit wem er heimlich kommuniziert, einschließlich außerehelicher Angelegenheiten, jeglicher kriminalitätsbezogener Kommunikation oder typischer privater/sensibler Gespräche, die Geheimhaltung erfordern", sagte Rachel Tobac, eine Expertin für Social Engineering und Gründerin der Cybersecurity-Firma SocialProof Security. "Das ist ein großes Problem für alle Betroffenen."
AT&T machte den Vorfall auf einen kürzlichen Vorfall bei dem Cloud-Dienstleister Snowflake zurück, der Dutzende von Unternehmen betroffen hat, darunter Ticketmaster, die Santander Bank und die Tochtergesellschaft von LendingTree, QuoteWizard. Zu diesem Zeitpunkt ist unklar, wer genau für den Snowflake-Vorfall verantwortlich war. Mandiant, das von Snowflake beauftragte Cybersecurity-Unternehmen zur Untersuchung, sagte, dass eine finanziell motivierte Cyberkriminellengruppe namens UNC5537 dafür verantwortlich sei.
Die Art der Daten, die bei AT&Ts Datenverletzung gestohlen wurden, wird in der Regel als Metadaten bezeichnet, da sie keine Inhalte von Anrufen oder Texten, sondern nur Informationen über diese Anrufe und Texte enthält. Das bedeutet jedoch nicht, dass es keine Risiken für die Opfer dieser Verletzung gibt.
Tobac sagte, dass diese Art von Daten es einfacher für Cyberkriminelle macht, Personen, die Sie vertrauen, zu imitieren, was es ihnen einfacher macht, überzeugendere Social Engineering- oder Phishing-Angriffe gegen AT&T-Kunden zu starten.
"Die Angreifer wissen genau, von wem Sie wahrscheinlich einen Anruf entgegennehmen, wem Sie wahrscheinlich zurückschreiben, wie lange Sie mit dieser Person kommunizieren, und sogar potenziell, wo Sie sich während dieses Gesprächs befunden haben, aufgrund der gestohlenen Metadaten", sagte Tobac.
Runa Sandvik, die Gründerin von Granitt, einer Firma, die Journalisten und Aktivisten dabei hilft, sicherer zu sein, sagte, dass "selbst wenn Sie nichts 'Wichtiges' oder 'Sensibles' tun, mit wem Sie sprechen; wann; und wie oft, ist immer noch persönlich für Sie und sollte auch privat bleiben."
"Ich denke, jeder sollte darüber sehr wütend sein und von den Telekommunikationsunternehmen mehr verlangen. Es reicht nicht aus zu sagen 'oh, übrigens, Ihre Daten wurden gestohlen, wir entschuldigen uns und nehmen dies sehr ernst'", sagte Sandvik gegenüber TechCrunch.
Sandvik sagte, dass es für Personen, die einem höheren Risiko durch die Verletzung ausgesetzt sind, besorgniserregender ist. "Einige könnten in Erwägung ziehen, ihre Nummern zu ändern und einen anderen Anbieter zu nutzen, aber es hängt wirklich von den Umständen ab." Personen mit einem höheren Risikoprofil können auch solche sein, die einen Grund haben, ihre Identität zu schützen, wie zum Beispiel Überlebende von häuslicher Gewalt.
Sandvik sagte auch, dass die Verwendung verschlüsselter Chat-Apps - wie Signal, die die Art von Metadaten, die AT&T gerade verloren hat, nicht speichert; und WhatsApp - besser für die Sicherheit sein könnte, da diese Unternehmen eine bessere Erfolgsbilanz beim Schutz von Benutzerdaten haben.
Jake Williams, ein Cybersicherheitsexperte und ehemaliger NSA-Hacker, sagte TechCrunch, dass das Risiko nach dem AT&T-Vorfall für Unternehmen und Geheimdienstziele größer ist.
"Bedrohungsakteure können diese Daten nutzen, um Lebensmuster zu erstellen", sagte Williams. "Anrufdatensätze bieten eine Fülle von Informationen für Geheimdienstanalysten."
Williams sagte auch, dass es möglich sei, dass Hacker diese Daten mit denen von Datenverstößen kombinieren könnten, da "frühere Vorfälle bei AT&T Kunden-Telefonnummern mit anderen identifizierenden Informationen verknüpften, was eine Vereinfachung der Bewaffnung der neu kompromittierten Daten ermöglichte."
Anruf- und Textmetadaten sind traditionell Informationen, die für Geheimdienste wertvoll sein können. Einige der von dem ehemaligen NSA-Vertragspartner Edward Snowden mehr als vor einem Jahrzehnt geleakten Dokumente haben gezeigt, dass die US-amerikanische National Security Agency kundenbezogene Metadaten von Verizon in großem Umfang und "kontinuierlich und täglich" erhalten hat.
Die US-Regierung verteidigt diese Praxis schon lange als ein wesentliches Instrument im Kampf gegen den Terrorismus, und in den letzten zehn Jahren haben aufeinander folgende Regierungen nur widerwillig auf diese Fähigkeit verzichtet. Ein ehemaliger Geheimdienstoffizier, der anonym bleiben wollte, da er nicht zur Presse sprechen durfte, sagte TechCrunch, dass es "einen Grund gibt, warum Telekommunikationsunternehmen so oft von ausländischen Diensten ins Visier genommen werden", und nannte Anstrengungen zur Identifizierung potenzieller Geheimdienstquellen und -vermögen.
"Kurz gesagt, diese Daten sind ein wahres Paradies, um zu verstehen, wer mit wem spricht, was zum Beispiel für die Entwicklung von Menschlichen Quellen genutzt werden kann", sagte Williams.