Trois ans après qu’un pirate informatique ait d’abord évoqué un vol présumé massif de données clients d’AT&T, un vendeur de failles a mis cette semaine l’ensemble des données en ligne. Il contient les informations personnelles de quelque 73 millions de clients AT&T.
Une nouvelle analyse de l’ensemble de données entièrement divulgué – contenant les noms, adresses personnelles, numéros de téléphone, numéros de sécurité sociale et dates de naissance – indique que les données sont authentiques. Certains clients d’AT&T ont confirmé que les données client divulguées étaient exactes. Mais AT&T n’a toujours pas précisé comment les données de ses clients ont été diffusées en ligne.
Le pirate informatique, qui a affirmé pour la première fois en août 2021 avoir volé des millions de données de clients d’AT&T, n’a publié à l’époque qu’un petit échantillon des enregistrements divulgués, ce qui rend difficile la vérification de son authenticité.
AT&T, le plus grand opérateur de téléphonie aux États-Unis, a déclaré en 2021 que les données divulguées « ne semblent pas provenir de nos systèmes », mais il a choisi de ne pas spéculer sur l’origine des données ni sur leur validité.
Troy Hunt, chercheur en sécurité et propriétaire du site de notification de violation de données Have I Been Pwned, a récemment obtenu une copie de l’ensemble de données complet divulgué. Hunt a conclu que les données divulguées étaient réelles en demandant aux clients d’AT&T si leurs enregistrements divulgués étaient exacts.
Dans un article de blog analysant les données, Hunt a déclaré que sur les 73 millions d’enregistrements divulgués, les données contenaient 49 millions d’adresses e-mail uniques, 44 millions de numéros de sécurité sociale, ainsi que les dates de naissance des clients.
Lorsqu’il a été contacté pour commenter, le porte-parole d’AT&T, Stephen Stokes, a déclaré à TechCrunch dans un communiqué : « Nous n’avons aucune indication d’une compromission de nos systèmes. Nous avons déterminé en 2021 que les informations proposées sur ce forum en ligne ne semblaient pas provenir de nos systèmes. Il semble qu’il s’agisse du même ensemble de données qui a été recyclé plusieurs fois sur ce forum.
Le porte-parole d’AT&T n’a pas répondu aux e-mails de suivi de TechCrunch demandant si les données client présumées étaient valides ou d’où provenaient les données de ses clients.
Comme le note Hunt, la source de la violation reste peu concluante. Et il n’est pas clair si AT&T sait d’où proviennent les données. Hunt a déclaré qu’il était plausible que les données proviennent soit d’AT&T, soit d’un « processeur tiers qu’ils utilisent, soit d’une autre entité totalement indépendante ».
Ce qui est clair, c’est que même trois ans plus tard, nous ne sommes toujours pas plus près de résoudre cette mystérieuse violation, et AT&T ne peut pas non plus dire comment les données de ses clients se sont retrouvées en ligne.
Enquêter sur les violations et les fuites de données prend du temps. Mais AT&T devrait désormais être en mesure de mieux expliquer pourquoi des millions de données de ses clients sont en ligne, à la vue de tous.
Lorenzo Franceschi-Bicchierai de TechCrunch a contribué au reportage.