Kies B voor inbreuk: hoe aanvallers de telefoonlogboeken van 110 miljoen AT&T-klanten slurpten

Door Danny Bradbury • 27 augustus 2024

Weet je nog, begin jaren tachtig, toen de slogan van AT&T 'Reach Out and Touch Nobody' was? Kennelijk hebben cybercriminelen dat in april van dit jaar letterlijk opgevat toen ze contact opnamen met de gespreksgegevens van meer dan een miljoen AT&T-klanten.

Op 19 april hoorde AT&T dat indringers beweerden toegang te hebben tot zijn gegevens. De indringers stalen vervolgens AT&T-loggegevens met betrekking tot draadloze oproepen en sms-berichten tussen 1 mei en 31 oktober 2022. De loginformatie bestond uit metadata, met daarin telefoonnummers die draadloze gebruikers hebben gebeld, hoeveel oproepen ze hebben gedaan en hoe lang de oproepen in totaal hebben geduurd. Het bevatte ook identificatienummers van mobiele locaties voor sommige van die oproepen.

De gestolen gegevens bevatten geen PII, zoals bel- of sms-inhoud, burgerservicenummers of geboortedata. Zoals AT&T echter opmerkt in zijn SEC-archivering voor het incident: “Hoewel de gegevens geen klantnamen bevatten, zijn er vaak manieren om, met behulp van openbaar beschikbare online tools, de naam te vinden die aan een specifiek telefoonnummer is gekoppeld.” De opname van mobiele locatie-ID's maakt het voor mensen ook mogelijk om deze dataset te gebruiken om de locatie van sommige van deze oproepen te analyseren – en dus de eigenaren van de nummers.

De oproeplogboeken van zes maanden bevatten een grote hoeveelheid gegevens. AT&T heeft verklaard dat het 110 miljoen klanten zal informeren wier belgegevens betrokken waren bij het datalek. In de indiening zei het dat het niet geloofde dat de gegevens openbaar waren gemaakt.

AT&T diende de SEC-aanvraag voor de inbreuk in op 12 juli, ver buiten het tijdsbestek van vier dagen. Het vertraagde de indiening in overeenstemming met het verzoek van het ministerie van Justitie, omdat het DOJ besloot dat het indienen van het rapport binnen de normale door de SEC gevraagde termijn van vier dagen potentieel gevaarlijk zou zijn. Dat is logisch, aangezien de inbreuk blijkbaar aan de gang was nadat de telecomprovider voor het eerst hoorde van de inbraak van de bedreigingsactoren. De gegevens uit het telefoonlogboek werden gestolen dagen nadat AT&T zei dat het van de inbraak had gehoord.

De inbreuk heeft helemaal niet plaatsgevonden in de systemen van AT&T. In plaats daarvan gebeurde het via een externe cloudprovider die het bedrijf in de pers identificeerde als cloudgebaseerd datawarehousingbedrijf Snowflake. Dit was niet de enige gegevensdiefstal van Snowflake; Volgens Mandiant werden de gegevens van 165 klanten gestolen uit de opslagsystemen van het bedrijf. Dit leek echter geen codeerprobleem in de software van Snowflake te zijn. De klanten die het slachtoffer waren van deze diefstallen, waaronder merken als Ticketmaster, hadden één ding gemeen: hun accountgegevens waren gestolen via malware en ze gebruikten geen multi-factor authenticatie.

Wat kunnen we leren van de AT&T/Snowflake-inbreuk?

We kunnen allemaal leren van de fouten van klanten die getroffen zijn door de sneeuwbalinbreuk, zeggen experts. “Organisaties moeten een duidelijk inzicht hebben in het gedeelde model van gedeelde veiligheidsverantwoordelijkheid dat gepaard gaat met leveranciersrelaties en robuuste identiteits- en toegangscontroles op cloudplatforms implementeren”, zegt Milda Petraityte, onderzoeker bij cybersecurityadviesbureau S-RM.

Snowflake ondernam zelf actie en introduceerde een nieuwe mogelijkheid voor de beheerders van klanten verplichte MFB afdwingen op 9 juli, bijna drie maanden nadat de hele reeks ongeautoriseerde logins op zijn systemen begon. Dat is een begin, maar je vraagt je af waarom deze functie nog niet aanwezig was – of waarom er, in de geest van echte cyberbeveiliging, een ander bedrijfsmodel zou zijn dan verplichte MFA.

Bedrijven lopen nog steeds ver achter bij het gebruik van MFB. Volgens CompTIA's staat van cyberbeveiliging voor 2024 Volgens het rapport neemt slechts 41% van de bedrijven het gebruik van MFA op in hun cyberbeveiligingsstrategieën. Slechts 38% maakt gebruik van een vorm van cloud-workload-governance.

Het andere probleem waardoor bedrijven in de problemen kwamen, was het niet opsporen en beperken van de diefstal van inloggegevens. “Verschillende bedrijven wisten niet dat ze waren gecompromitteerd door infostealers, dus hun inloggegevens waren beschikbaar op het dark web”, zegt Stephanie Schneider, analist cyberdreigingen bij wachtwoordbeheerder LastPass. Detectie is een cruciale stap in elk incidentresponsplan. Omdat bedrijven er niet in slaagden de malware-infectie op te sporen die tot diefstal van inloggegevens leidde en vervolgens geen extra toegangsbeveiliging implementeerden, stelden ze zichzelf kwetsbaar op.

Bedrijven kunnen leren over dit soort veilige praktijken in algemene cyberbeveiligingsstandaarden. ISO 270001 vermeldt bijvoorbeeld expliciet veilige authenticatiemethoden, zoals externe apparaatauthenticatie Bijlage A 8.5 documentatie. Het vermeldt ook maatregelen zoals het controleren op en voorkomen van het gebruik van ongeautoriseerde software, diepgaande bescherming tegen malware op meerdere infrastructurele punten, en het trainen van werknemers om zich bewust te zijn van social engineering en het installeren van kwaadaardige software in Controle 8.7 – Bescherming tegen malware.

Het effectief implementeren van dergelijke maatregelen had kunnen helpen de Snowflake-ramp bij AT&T te voorkomen, samen met de inbreuken van veel andere bedrijven via de cloudgebaseerde dienst. De telco heeft echter ook met andere cyberveiligheidsincidenten te kampen gehad.

In maart van dit jaar verklaarde AT&T dat PII van 73 miljoen klanten op het dark web rondzwierf en niet wist waar de informatie vandaan kwam. Die gegevens, die uit een compromis in 2021 naar boven kwamen, waren voldoende om een class-action rechtszaak van gefrustreerde klanten.

In januari 2023 meldde de telco dat PII van negen miljoen klantaccounts was gecompromitteerd via een van zijn externe marketingpartners. Dit onderstreept de noodzaak van robuuste leveranciersbeoordelingen en voortdurende beveiligingsaudits van derden om niet alleen het eigen netwerk van het bedrijf, maar het hele data-ecosysteem te beveiligen.

Het beheren van een dergelijk ecosysteem is een uitdaging voor een bedrijf dat zo uitgestrekt is als AT&T, vooral omdat dit ook het geval is verkocht de geolocatiegegevens van klanten aan derden zonder hun toestemming. Dit is ook een teken dat we meer regelgevende maatregelen nodig hebben om deze bedrijven te dwingen robuuste beveiligings- en privacycontroles te implementeren.

Danny Bradbury

Danny Bradbury is sinds 1989 een printjournalist gespecialiseerd in technologie en sinds 1994 freelanceschrijver. Hij heeft geschreven voor nationale publicaties aan beide zijden van de Atlantische Oceaan en heeft prijzen gewonnen voor zijn onderzoeksjournalistieke werk op het gebied van cyberbeveiliging.

Lees meer van Danny Bradbury

Cyber security 18 December 2025

Hoe navigeer je door het doolhof van AI-compliance in de VS? Banner

Hoe navigeer je door het doolhof van AI-regelgeving in de VS?

Als het om regelgeving gaat, is de term 'Verenigde Staten' een contradictie. De wetten van de staten zijn allesbehalve uniform, en elke jurisdictie hanteert eigen regels...

Danny Bradbury

Cyber security 20 November 2025

Wat de Salesforce-inbreuken ons leren over gedeelde verantwoordelijkheid

2025 was geen goed jaar voor Salesforce-klanten. Een louche criminele organisatie voerde een reeks aanvallen uit op haar klanten, met uiteindelijk gevolgen voor...

Danny Bradbury

Cyber security 13 November 2025

Beoordeling van de verschuiving van de Trump-regering in het Amerikaanse cyberbeveiligingsbeleid

Recente uitvoerende maatregelen en herstructureringen van agentschappen markeren een significante verandering in de federale cybersecuritystrategie, wat vragen oproept over de nationale veerkracht.

Danny Bradbury

Kies B voor inbreuk: hoe aanvallers de telefoonlogboeken van 110 miljoen AT&T-klanten slurpten

Wat kunnen we leren van de AT&T/Snowflake-inbreuk?

Danny Bradbury

Gerelateerde artikelen

Het tijdperk van compliance: hoe regelgeving, technologie en risico de normen in het bedrijfsleven herschrijven.

Vijf trends op het gebied van beveiliging en compliance om in 2026 in de gaten te houden.

Rapport over de stand van zaken op het gebied van informatiebeveiliging: 11 belangrijke statistieken en trends voor de juridische sector.

Lees meer van Danny Bradbury

Hoe navigeer je door het doolhof van AI-regelgeving in de VS?

Wat de Salesforce-inbreuken ons leren over gedeelde verantwoordelijkheid

Beoordeling van de verschuiving van de Trump-regering in het Amerikaanse cyberbeveiligingsbeleid