La compañía de telecomunicaciones AT&T reveló una filtración de datos que comprometió las interacciones telefónicas y de texto de una gran parte de sus clientes.
Según el comunicado oficial, los atacantes informáticos lograron acceder a registros de llamadas y mensajes de texto realizados entre el 1 de mayo de 2022 y el 31 de octubre de 2022, así como del 2 de enero de 2023.
Información extraída de la nube
La información filtrada proviene de un “espacio de trabajo” de AT&T alojado en una plataforma de almacenamiento en la nube de terceros.
Si bien la filtración no expone el contenido de las llamadas o mensajes de texto, ni tampoco datos personales como nombres o fechas de nacimiento, sí revela los números de teléfono con los que se comunicaron los clientes afectados, junto con la cantidad de llamadas o mensajes y su duración.
AT&T afirma que ha notificado a cerca de 110 millones de clientes sobre el incidente y, aunque la información filtrada no incluye nombres, la compañía advierte que existen herramientas en línea que podrían facilitar la identificación del titular de un número telefónico a partir de estos datos.
Detrás de la escena: hackers y negociaciones secretas
Un giro inesperado en la historia llegó de la mano del medio Wired. Su investigación revela que, en mayo de 2024, AT&T habría pagado a un hacker alrededor de $370,000 USD en bitcoins para evitar la divulgación de la información robada.
El hacker en cuestión, un miembro del conocido grupo ShinyHunters, supuestamente exigió un rescate de $1 millón de dólares a AT&T, pero finalmente aceptó una suma menor.
Como prueba de la eliminación de los datos, el hacker proporcionó a la compañía un video que supuestamente mostraba la destrucción de la información.
Vínculos con otros ataques y posibles sospechosos
La filtración de datos de AT&T parece estar relacionada con la plataforma de almacenamiento de datos Snowflake.
Cientos de cuentas de esta plataforma, pertenecientes a empresas como Ticketmaster, Santander Bank, Advance Auto Parts y Neiman Marcus, se vieron comprometidas recientemente a través del robo de credenciales de usuarios. El grupo ShinyHunters estaría vinculado a estos ataques.
Sin embargo, la investigación de Wired señala la participación de otro individuo: John Binns, un hacker estadounidense radicado en Turquía desde hace varios años. Binns ganó notoriedad en 2021 al atribuirse el hackeo a T-Mobile, lo que le valió una acusación formal en 2022.
Según los reportes, Binns fue arrestado en Turquía en mayo de 2024 por el caso T-Mobile, lo que podría explicar la mención de AT&T sobre un individuo detenido en su comunicado público.
Un investigador informático con el alias de Reddington declaró a Wired que Binns lo contactó en abril de 2024, asegurando haber obtenido los registros de llamadas de millones de clientes de AT&T a través de Snowflake.
Reddington afirma haber actuado como intermediario en las negociaciones del rescate con AT&T y con otras víctimas del ataque a Snowflake.
Aparentemente, AT&T planeaba enviar el rescate de $370,000 USD a Binns, pero debido a su detención en Turquía, el dinero terminó llegando a un miembro de ShinyHunters.
Fuente: Wired