Puede que sean nuestros datos, pero no es nuestra infracción: Krebs sobre la seguridad


Imagen: Shutterstock.

Una empresa de seguridad cibernética dice que ha interceptado un gran conjunto de datos robados únicos que contienen los nombres, direcciones, direcciones de correo electrónico, números de teléfono, números de seguridad social y fechas de nacimiento de casi 23 millones de estadounidenses. El análisis de la firma de los datos sugiere que corresponde a clientes actuales y anteriores de AT&T. El gigante de las telecomunicaciones no llegó a decir que los datos no eran suyos, pero sostiene que los registros no parecen provenir de sus sistemas y pueden estar vinculados a un incidente de datos anterior en otra empresa.

Consultoría de ciberseguridad con sede en Milwaukee Mantener la seguridad dijo que interceptó un archivo comprimido de 1,6 gigabytes en un popular sitio web oscuro para compartir archivos. El elemento más grande del archivo es un archivo de 3,6 gigabytes llamado «dbfull» y contiene 28,5 millones de registros, incluidos 22,8 millones de direcciones de correo electrónico únicas y 23 millones de SSN únicos. No hay contraseñas en la base de datos.

Fundador de Hold Security Alex Holden dijo que varios patrones en los datos sugieren que se relaciona con los clientes de AT&T. Para empezar, las direcciones de correo electrónico que terminan en “att.net” representó el 13,7 por ciento de todas las direcciones en la base de datos, con direcciones de sbcglobal.net y bellsouth.net – ambas empresas de AT&T – que representan otro siete por ciento. A diferencia de, Gmail los usuarios componían más del 30 por ciento del conjunto de datos, con yahoo direcciones que representan el 24 por ciento. Más de 10,000 entradas en la lista de base de datos «none@att.com» en el campo de correo electrónico.

Hold Security encontró que estos dominios de correo electrónico representan el 87% de todos los dominios en el conjunto de datos. Casi el 21% pertenecía a clientes de AT&T.

El equipo de Holden también examinó la cantidad de registros de correo electrónico que incluían un alias en la parte del nombre de usuario del correo electrónico y encontró 293 direcciones de correo electrónico con direccionamiento positivo. De ellos, 232 incluían un alias que indicaba que el cliente se había registrado en alguna propiedad de AT&T; 190 de las direcciones de correo electrónico con alias eran «+eso@”; 42 fueron “+uverso@”, una extraña referencia específica a una entidad de DirecTV/AT&T que incluía Internet de banda ancha. En septiembre de 2016, AT&T renombrado U-verso como Internet de AT&T.

Según su sitio web, AT&T Internet se ofrece en 21 estados, incluidos Alabama, Arkansas, California, Florida, Georgia, Indiana, Kansas, Kentucky, Luisiana, Michigan, Misuri, Nevada, Carolina del Norte, Ohio, Oklahoma, Tennessee, Texas y Wisconsin. Casi todos los registros en la base de datos que contienen una designación de estado corresponden a esos 21 estados; todos los demás estados representaron solo el 1,64 por ciento de los registros, encontró Hold Security.

Imagen: Seguridad de espera.

La gran mayoría de los registros en esta base de datos pertenecen a consumidores, pero casi 13,000 de las entradas son para entidades corporativas. Holden dijo que 387 de esos nombres corporativos comenzaron con «ATT», con varias entradas como «ATT PVT XLOW» que aparecieron 81 veces. Y la mayoría de las direcciones de estas entidades son oficinas corporativas de AT&T.

¿Qué antigüedad tienen estos datos? Una pista puede estar en las fechas de nacimiento expuestas en esta base de datos. Hay muy pocos registros en este archivo con fechas de nacimiento posteriores a 2000.

«Según estas estadísticas, vemos que el último número significativo de suscriptores nació en marzo de 2000», dijo Holden a KrebsOnSecurity, y señaló que AT&T requiere que los nuevos titulares de cuentas tengan 18 años o más. «Por lo tanto, tiene sentido que el conjunto de datos probablemente se haya creado cerca de marzo de 2018».

También hubo esta anomalía: Holden dijo que uno de sus analistas es un cliente de AT&T con un apellido de 13 letras, y que su factura de AT&T siempre ha tenido el mismo error ortográfico único de su apellido (agregaron otra letra más). Dijo que el nombre del analista está mal escrito de manera idéntica en esta base de datos.

KrebsOnSecurity compartió el gran conjunto de datos con AT&T, así como el análisis de Hold Security. AT&T finalmente se negó a decir si todas las personas en la base de datos son o fueron en algún momento clientes de AT&T. La compañía dijo que los datos parecen tener varios años y que «no es posible determinar de inmediato el porcentaje que pueden ser clientes».

“Esta información no parece provenir de nuestros sistemas”, dijo AT&T en una declaración escrita. “Puede estar relacionado con un incidente de datos anterior en otra empresa. Es lamentable que los datos puedan seguir apareciendo durante varios años en la dark web. Sin embargo, los clientes a menudo reciben avisos después de tales incidentes, y los consejos para el robo de identidad son consistentes y se pueden encontrar en línea”.

La compañía se negó a dar más detalles sobre lo que querían decir con «un incidente de datos anterior en otra empresa».

Pero parece probable que esta base de datos esté relacionada con una que salió a la venta en un foro de hackers el 19 de agosto de 2021. Esa subasta se realizó con el título “Base de datos de AT&T +70M (SSN/DOB)”, y fue ofrecido por ShinyHuntersun conocido actor de amenazas con un largo historial de sitios web y repositorios de desarrolladores comprometidos para robar credenciales o claves de API.

Imagen: BleepingComputer

ShinyHunters estableció el precio inicial de la subasta en $ 200,000, pero fijó el precio «flash» o «cómpralo ahora» en $ 1 millón. La subasta también incluyó una pequeña muestra de la información robada, pero esa muestra ya no está disponible. El foro de hackers donde existía el hilo de ventas de ShinyHunters fue incautado por el FBI en abril y arrestado a su presunto administrador.

Pero copias almacenadas en caché de la subasta, según lo registrado por la firma de inteligencia cibernética. Intel 471muestran que ShinyHunters recibió ofertas de hasta $230,000 por toda la base de datos antes de suspender la venta.

“Este hilo se ha eliminado varias veces”, escribió ShinyHunters en su discusión de subasta el 6 de septiembre de 2021. “Por lo tanto, la subasta está suspendida. AT&T estará disponible en WHM tan pronto como acepten nuevos proveedores”.

La sigla WHM era una referencia a la Mercado de la Casa Blancaun mercado web oscuro que cerrado en octubre de 2021.

“En muchos casos, cuando no se vende una base de datos, ShinyHunters la publica de forma gratuita en los foros de hackers”, escribió BleepingComputer. lorenzo abramsquién dio la noticia de la subasta el año pasado y confrontó a AT&T por las afirmaciones de los piratas informáticos.

AT&T le dio a Abrams una declaración similar, diciendo que los datos no provenían de sus sistemas.

“Cuando se le preguntó si los datos podían provenir de un socio externo, AT&T optó por no especular”, escribió Abrams. “’Dado que esta información no proviene de nosotros, no podemos especular de dónde proviene o si es válida’”, dijo AT&T a BleepingComputer.

Cuando se le pidió que respondiera a la negación de AT&T, ShinyHunters le dijo a BleepingComputer en ese momento: “No me importa si no lo admiten. Solo estoy vendiendo.

El 1 de junio de 2022, un francés de 21 años fue arrestado en marruecos por supuestamente ser miembro de ShinyHunters. Violaciones de datos.net informes el acusado fue arrestado en una “notificación roja” de Interpol a pedido de un fiscal federal de EE. UU. del estado de Washington.

Databreaches.net sugiere que la orden podría estar vinculada a un robo de ShinyHunters en mayo de 2020, cuando el grupo anunció que había extrajo 500 GB del código fuente de Microsoft de los repositorios privados de GitHub de Microsoft.

«Los investigadores evalúan que Shiny Hunters obtuvo acceso a aproximadamente 1200 repositorios privados alrededor del 28 de marzo de 2020, que desde entonces han sido asegurados», se lee. una alerta de mayo de 2020 publicado por el Célula de Integración de Comunicaciones y Ciberseguridad de Nueva Jerseyun componente dentro de la Oficina de Seguridad Nacional y Preparación de New Jersey.

“Aunque la infracción se descartó en gran medida como insignificante, algunas imágenes de la lista del directorio parecen contener código fuente para Azure, Office y algunos tiempos de ejecución de Windows, y se han expresado preocupaciones sobre el acceso a claves API privadas o contraseñas que pueden haberse incluido por error. en algunos repositorios privados”, continúa la alerta. «Además, Shiny Hunters está inundando los mercados de la web oscura con bases de datos violadas».

El mes pasado, T-Mobile accedió a pagar 350 millones de dólares para resolver una demanda colectiva consolidada por un incumplimiento en 2021 que afectó a 40 millones de clientes actuales y anteriores. La brecha salió a la luz el 16 de agosto de 2021, cuando alguien comenzó a vender decenas de millones de registros de SSN/DOB de T-Mobile en el mismo foro de piratas informáticos donde ShinyHunters publicaría su subasta para la base de datos de AT&T reclamada solo tres días después.

T-Mobile no ha revelado muchos detalles sobre el «cómo» de la filtración del año pasado, pero dijo los intrusos “aprovecharon su conocimiento de los sistemas técnicos, junto con herramientas y capacidades especializadas, para obtener acceso a nuestros entornos de prueba y luego usaron ataques de fuerza bruta y otros métodos para abrirse paso en otros servidores de TI que incluían datos de clientes”.

Un hilo de ventas vinculado a los datos de clientes de T-Mobile robados.



Enlace a la noticia original