美国电信巨头AT&T周五披露,黑客窃取了数千万客户的通话记录,该公司向一名黑客团队成员支付了30多万美元,要求其删除数据并提供删除证据的视频。
这名黑客是臭名昭著的ShinyHunters黑客组织的成员,该组织通过不安全的Snowflake云存储账户窃取了多名受害者的数据。
AT&T在5月份支付了赎金。还提供了向他发送货币的加密货币钱包的地址,以及接收货币的地址。通过在线区块链跟踪工具证实,5月17日发生了一笔5.7比特币的支付交易。
加密货币追踪公司TRMLabs的全球调查主管也利用该公司自己的跟踪工具证实,发生了一笔约5.72比特币(交易时相当于373,646美元)的交易,这笔钱随后通过几家加密货币交易所和钱包洗白,但他表示没有迹象表明谁控制了这些钱包。
一位安全研究员雷丁顿(Reddington)也证实了这笔付款。这位黑客请他充当与AT&T谈判的中间人,雷丁顿因此从AT&T那里获得了一笔报酬。
雷丁顿向《连线》杂志提供了这笔报酬的证明。这位黑客最初要求AT&T支付100万美元,但最终只同意支付其中的三分之一。
我们观看了黑客向AT&T提供的视频,该视频是黑客向AT&T提供的证据,证明他已从电脑中删除了被盗数据。
三个月前,AT&T正是通过雷丁顿间接获悉了数据被盗的情况。
4月中旬,一名居住在土耳其的美国黑客(据信是约翰·艾琳·宾斯(Binns),而不是收钱的黑客)联系他,说他已经获得了雷丁顿的AT&T通话记录。
在雷丁顿证实通话记录属实后,宾斯据称告诉雷丁顿,他还通过Snowflake托管的安全性较差的云存储账户获得了数百万其他AT&T客户的通话和短信记录。
雷丁顿将此次入侵事件通知了安全公司Mandiant,Mandiant随后通知了AT&T。
AT&T在周五提交给美国证券交易委员会的监管文件中表示,它于4月份首次获悉此次入侵事件。
宾斯涉嫌窃取的整个AT&T数据集之所以被删除,是因为黑客和宾斯都将数据存储在他们都可以访问的云服务器中,而黑客则从该服务器上删除了这些数据。
AT&T是150多家公司之一,据信在4月和5月发生的黑客攻击中,这些公司的数据从安全性较差的Snowflake账户中被盗。
此前有报道称,这些账户没有采用多因素身份验证进行保护,因此在黑客获得账户的用户名和密码(在某些情况下是授权令牌)后,他们便能够访问公司的存储账户并窃取其数据。
迄今为止,Ticketmaster、银行Santander、LendingTree和AdvanceAutoParts都是公开确认的受害者。
雷丁顿促成了黑客与Snowflake账户泄露受害者之间的多次谈判。宾斯要求他联系AT&T“以促成数据回购”,并且“考虑到数据的重要性”和造成危害的可能性,我感到有义务确保他不会将数据出售给任何其他人。
一系列事件表明,Ticketmaster的Snowflake账户很可能是此次活动中第一个被攻破的账户,随后黑客将目标转向了AT&T和其他公司。
对[黑客]从其他受害者提供的数据样本的分析表明,Ticketmaster的黑客攻击首先发生。
从那时起,黑客似乎发现他们可以通过寻找被盗凭证来瞄准‘snowflakecomputing.com’域名。
他们很快就编制了一份名单,并编写了一个脚本来同时攻击所有Snowflake受害者。
根据AT&T提交给美国证券交易委员会的文件,被盗的AT&T数据包括通话和短信元数据,但不包括通话或短信内容或手机所有者的姓名。
宾斯演示了他如何利用反向查找程序轻松识别号码所有者,该程序通过姓名识别与电话号码相关的家庭成员、同事和其他与他们通信的人。
据AT&T称,被盗数据包括“几乎所有”AT&T蜂窝客户的电话号码,以及2022年5月1日至2022年10月31日以及2023年1月2日期间与这些AT&T客户通话或发送消息的其他无线运营商客户的电话号码。
它还包括在此期间与受影响的AT&T客户通信的固定电话号码。数据包括通信日期和通话时长。
该公司在一篇博客文章中表示:“对于部分记录,还包括与互动相关的一个或多个基站ID号。”基站ID显示手机ping的是哪些基站,可能用于识别手机用户的大致位置和动作。
直到上周五AT&T在博客文章和SEC文件中披露了这一信息后,这一信息才被公开。
尽管上市公司在获悉信息泄露后必须向SEC报告,但AT&T写道,司法部已于5月和6月批准其推迟报告,因为一旦信息泄露被揭露,可能会对国家安全或公共安全造成危害。
联邦调查局告诉CNN,AT&T在获悉信息泄露后不久就联系了该局,但该局希望在AT&T公开和向SEC披露信息之前,先查看数据以确定被窃取的内容并评估任何潜在危害。
收到AT&T付款的黑客声称宾斯对此次入侵负有责任,并在下载数据样本后与他和其他人分享了数据样本。相信宾斯涉嫌从AT&T窃取了“数十亿条”记录,尽管《连线》杂志无法证实这一点。
雷丁顿了解到,被删除的数据是黑客窃取的唯一完整数据集。雷丁顿说,他不相信黑客公开发布了这些数据,但他不确定有多少人收到了宾斯涉嫌提供的数据摘录,也不知道黑客用这些数据做了什么。
尽管付款并删除了数据,但部分AT&T客户及与他们通信的人员仍可能面临风险,因为其他人可能拥有未删除的数据样本。
接受《连线》采访的黑客之所以从AT&T而非宾斯处获得报酬,是因为他表示,与案件的意外转折不同,宾斯于5月在土耳其因2021年发生的一起无关的入侵事件而被捕。那起事件涉及从T-Mobile窃取大量数据。
AT&T在其提交给美国证券交易委员会的文件中表示,它认为与此次入侵有关的“至少一名人员”已被逮捕,但没有透露其身份。404Media于周五率先报道称宾斯就是该人员。
2022年,宾斯被控12项罪名,涉及2021年对T-Mobile的黑客攻击,“以及窃取和出售敏感文件和信息”,涉及4000多万人的数据。然而,根据宾斯三年前接受《华尔街日报》采访时的说法,他于2018年与土耳其母亲一起从美国移居土耳其。起诉书一直保密到今年。
去年9月,美国获悉,由于他没有土耳其国籍,他可能会在土耳其被捕并被引渡到美国。西雅图(T-Mobile总部附近)的检察官于12月要求美国法院解封起诉书的部分内容,以便他们可以将其和逮捕令交给土耳其当局,土耳其当局正在就宾斯是否可以根据土耳其法律合法引渡做出最终决定。法院于1月批准了解封请求。
收到AT&T付款的黑客告诉《连线》杂志,他认为宾斯于5月5日左右在土耳其被捕,因为宾斯没有回应他和其他人的任何联系尝试。
宾斯曾多次与美国当局联系,并指控中情局和其他机构密谋伤害和诱捕他。作为2020年针对联邦调查局、中情局和美国特种作战司令部提起的FOIA诉讼的一部分,宾斯声称这些机构掌握着他的记录。
他声称中情局的承包商监视他、对他进行实验、骚扰他,其中一名承包商用“精神武器”指着他的头,用微波炉电击他,等等。他后来提出动议,要求驳回他的FOIA案件,声称他在“因醉酒而出现心理发作”时提交了一些文件。
去年10月,在T-Mobile一案中,宾斯致信西雅图美国地方法院,称他认为自己的行为受到了婴儿时期植入大脑的芯片的影响。在一封寄给法院并被《连线》杂志看到的认证信中,宾斯告诉法官,他认为出生后不久植入的“无线大脑(基底神经节)刺激植入物或设备”导致了“行为反常,包括无法抗拒的冲动、人为的神经问题以及可能的犯罪行为”。
时间线表明,如果宾斯对AT&T入侵事件负有责任,那么他在做这件事时很可能已经知道自己因入侵T-Mobile数据而被起诉,并可能因此被捕。
