Entdeckt wurde der Angriff bereits am 19. April 2024. Aus einer entsprechenden Meldung des Vorfalls an die US-Behörden geht hervor, dass es sich bei den gestohlenen Daten um die Aufzeichnungen von Anrufen und Textnachrichten aller AT&T Mobilfunkkunden, Kunden von virtuellen Mobilfunknetzbetreibern und Festnetzkunden handelt, die ihre Nummern zwischen dem 1. Mai und 31. Oktober 2022 sowie dem 2. Januar 2023 benutzt haben. Gestohlen wurden nicht nur die entsprechenden Telefonnummern, sondern auch die Dauer der Gespräche sowie die Identifikationsnummern der Mobilfunkstandorte.
Gegenüber der Webseite Hackread bestätigte AT&T, dass die Daten Mitte April aus einem Snowflake-Account gestohlen wurden. AT&T ist nicht das erste Unternehmen, das Probleme mit einem Snowflake-Account hat. Bereits vor rund einem Monat haben die australischen Behörden eine Sicherheitswarnung herausgegeben, wonach es Hackern gelungen sei, mehrere Kunden von Cloud-Lösungen des auf Datenanalyse spezialisierten Unternehmens Snowflake zu kompromittieren. Auch das bereits erwähnte Datenleck bei Ticketmaster lässt sich wohl auf einen Snowflake-Account zurückführen. Dabei handelte es sich jedoch offenbar nicht um direkte Angriffe auf die Systeme von Snowflake, sondern um eine gezielte Kampagne gegen Accounts ohne Zwei-Faktor-Authentifizierung, deren Zugangsdaten von den Angreifern entweder erworben oder über Infostealer Malware erlangt worden seien.
Obwohl es sich bei dem AT&T-Vorfall um eine ernste Angelegenheit und ein Datenleck gigantischen Ausmaßes handelt, gibt es auch gute Nachrichten. Offenbar wurden weder Namen und Adressen noch die Inhalte der Textnachrichten oder Anrufe erbeutet. Auch die Sozialversicherungsnummern der Kunden, in den USA eines der wichtigsten Identifikationsmittel, wurden nicht kompromittiert. Um die Identitäten hinter den erbeuteten Telefonnummern zu entschlüsseln, müssten die Kriminellen die Metadaten analysieren, was bei der schieren Anzahl der erbeuteten Daten laut Experten eher unwahrscheinlich ist.
Bei den derzeit laufenden Ermittlungen arbeitet AT&T eng mit den Strafverfolgungsbehörden zusammen – und das offenbar mit Erfolg, denn es gab wohl bereits eine erste Verhaftung. In der Zwischenzeit hat das Unternehmen weitere Sicherheitsmaßnahmen ergriffen, um unbefugte Zugriffe auf Daten zu verhindern. Auch die Kunden sollen in Kürze informiert werden, nachdem AT&T in den vergangenen Monaten zweimal die Genehmigung bekommen hatte, die Bekanntgabe des Datenlecks zu verschieben.
Der Fall zeigt, dass selbst große Unternehmen angreifbar sind, besonders wenn Daten über eine Drittanbietersoftware in der Cloud liegen. Unternehmen sollten dringend darauf achten, dass solche Daten besonders gesichert werden. Dazu gehört selbstverständlich auch die Nutzung von Zwei-Faktor-Authentifizierung, welche bei den bislang gehackten Snowflake-Kunden offenbar nicht aktiviert war.