AT&T a commencé à informer les autorités et les régulateurs des États américains d’un incident de sécurité après avoir confirmé que des millions de dossiers de clients mis en ligne le mois dernier étaient authentiques.
Dans un dossier légalement requis auprès du bureau du procureur général du Maine, le géant américain des télécommunications a déclaré avoir envoyé des lettres informant plus de 51 millions de personnes que leurs informations personnelles avaient été compromises lors de la violation de données, dont environ 90 000 personnes dans le Maine. AT&T a également informé le procureur général de Californie de la violation.
AT&T – la plus grande entreprise de télécommunications aux États-Unis – a déclaré que les données piratées comprenaient le nom complet, l’adresse e-mail, l’adresse postale, la date de naissance, le numéro de téléphone et le numéro de sécurité sociale des clients.
Les fuites d’informations sur les clients remontaient à la mi-2019 et avant. Selon AT&T, les enregistrements contenaient des données valides sur plus de 7,9 millions de clients actuels d’AT&T.
AT&T a pris des mesures environ trois ans après qu’un sous-ensemble des données divulguées soit apparue pour la première fois en ligne, ce qui a empêché toute analyse significative des données. Le cache complet de 73 millions de dossiers clients divulgués a été mis en ligne le mois dernier, permettant aux clients de vérifier que leurs données étaient authentiques. Certains dossiers contenaient des doublons.
Les données divulguées comprenaient également des codes d’accès de compte cryptés, qui permettent d’accéder aux comptes clients.
Peu de temps après la publication de l’ensemble des données complètes, un chercheur en sécurité a informé TechCrunch que les codes d’accès cryptés trouvés dans les données divulguées étaient faciles à déchiffrer. AT&T a réinitialisé ces codes d’accès de compte après que TechCrunch a alerté AT&T le 26 mars du risque posé aux clients. TechCrunch a tenu son histoire jusqu’à ce qu’AT&T puisse terminer le processus de réinitialisation des codes d’accès des clients concernés.
AT&T a finalement reconnu que les données divulguées appartenaient à ses clients, dont environ 65 millions d’anciens clients.
Les entreprises confrontées à des violations de données affectant un grand nombre de personnes sont tenues de divulguer l’incident aux procureurs généraux des États-Unis, en vertu des lois des États sur la notification des violations de données. Dans ses avis déposés dans le Maine et en Californie, AT&T a déclaré qu’elle proposait le vol d’identité et la surveillance du crédit aux clients concernés.
AT&T n’a toujours pas identifié la source de la fuite.