Getty Images | VOIR presse
AT&T a réinitialisé les codes d’accès de millions de clients après avoir reconnu une fuite massive impliquant les données de 73 millions d’abonnés actuels et anciens.
« Sur la base de notre analyse préliminaire, l’ensemble de données semble dater de 2019 ou avant, impactant environ 7,6 millions de titulaires de comptes AT&T actuels et environ 65,4 millions d’anciens titulaires de comptes », a déclaré AT&T dans une mise à jour publiée samedi sur son site Internet.
Un article d’assistance d’AT&T indique que l’opérateur « contacte les 7,6 millions de clients concernés et a réinitialisé leurs codes d’accès. De plus, nous communiquerons avec les titulaires de comptes actuels et anciens dont les informations personnelles sensibles ont été compromises ». AT&T a déclaré que les informations divulguées variaient selon les clients, mais incluaient les noms complets, les adresses e-mail, les adresses postales, les numéros de téléphone, les numéros de sécurité sociale, les dates de naissance, les numéros de compte AT&T et les codes d’accès.
La reconnaissance de la fuite par AT&T la décrivait comme « des champs spécifiques aux données d’AT&T [that] étaient contenues dans un ensemble de données publiées sur le dark web. » Mais les mêmes données semblent également se trouver sur le web ouvert. Comme l’a écrit le chercheur en sécurité Troy Hunt, les données sont « à la vue de tous, sur un forum public facilement accessible par les utilisateurs ». un navigateur Web normal. »
Le forum de hacking dispose d’une version publique accessible avec n’importe quel navigateur et d’un service caché qui nécessite une connexion au réseau Tor. D’après les messages du forum que nous avons consultés aujourd’hui, la fuite semble être apparue à la fois dans les versions publique et Tor du forum de piratage le 17 mars de cette année. La visualisation des données AT&T nécessite un compte de forum de piratage et des « crédits » de site qui peuvent être achetés ou gagnés en publiant sur le forum.
Hunt a déclaré aujourd’hui à Ars que le terme « dark web » est « incorrect et trompeur » dans ce cas. Le forum sur lequel les données d’AT&T sont apparues « ne répond pas à la définition du dark web », a-t-il écrit dans un email. « Pas de logiciel spécial, pas de réseau spécial, juste un simple vieux navigateur. Il est facilement détectable via une recherche Google et affiche immédiatement de nombreuses informations personnelles. [Personal Identifiable Information] enregistrements de la violation AT&T. L’inscription est alors gratuite pour toute personne, le seul obstacle restant étant l’obtention de crédits. »
Nous avons contacté AT&T aujourd’hui et mettrons à jour cet article si nous obtenons une réponse.
49 millions d’adresses e-mail
Le message de Hunt du 19 mars indiquait que les informations divulguées comprenaient un fichier contenant 73 481 539 lignes de données contenant 49 102 176 adresses e-mail uniques. Un autre fichier contenant des numéros de sécurité sociale décryptés contenait 43 989 217 lignes, a-t-il écrit.
Hunt, qui gère la base de données « Have I Been Pwned » qui vous permet de vérifier si votre courrier électronique a été victime d’une violation de données, affirme que les 49 millions d’adresses électroniques de la fuite d’AT&T ont été ajoutées à sa base de données.
BleepingComputer a couvert la fuite il y a deux semaines, écrivant qu’il s’agissait des mêmes données impliquées dans un incident de 2021 au cours duquel un pirate informatique a partagé des échantillons de données et a tenté de vendre l’ensemble des données pour 1 million de dollars. En 2021, AT&T a déclaré à BleepingComputer que « les informations apparues dans un salon de discussion sur Internet ne semblent pas provenir de nos systèmes ».
AT&T a maintenu cette position le mois dernier. « AT&T continue de dire à BleepingComputer aujourd’hui qu’il ne voit toujours aucune preuve d’une violation dans ses systèmes et pense toujours que ces données ne proviennent pas d’eux », indique l’article du site d’information du 17 mars 2024.
AT&T affirme que les données peuvent provenir de lui-même ou de son fournisseur
La mise à jour d’AT&T du 30 mars a reconnu que les données pouvaient provenir d’AT&T lui-même, mais a déclaré qu’elles pouvaient également provenir d’un fournisseur d’AT&T :
AT&T a déterminé que les champs spécifiques aux données AT&T étaient contenus dans un ensemble de données publié sur le dark web il y a environ deux semaines. Bien qu’AT&T ait pris cette décision, on ne sait pas encore si les données contenues dans ces champs proviennent d’AT&T ou de l’un de ses fournisseurs. En ce qui concerne le reste de l’ensemble de données, qui comprend des informations personnelles telles que les numéros de sécurité sociale, la source des données est toujours en cours d’évaluation.
« Actuellement, AT&T n’a aucune preuve d’un accès non autorisé à ses systèmes entraînant une exfiltration de l’ensemble de données », indique également la mise à jour de la société. AT&T a déclaré qu’elle « communique de manière proactive avec les personnes concernées et proposera une surveillance du crédit à nos frais, le cas échéant ».
AT&T a déclaré que les codes d’accès qu’il réinitialise comportent généralement quatre chiffres et sont différents des mots de passe des comptes AT&T. Les codes d’accès sont utilisés lors de l’appel du service client, lors de la gestion d’un compte dans un magasin de détail et lors de la connexion au site Web d’AT&T « si vous avez choisi une sécurité supplémentaire ».