AT & T informe 51 millions d’anciens et actuels clients, les avertissant d’une violation de données qui a exposé leurs informations personnelles sur un forum de piratage. Cependant, la société n’a toujours pas divulgué comment les données ont été obtenues.

Ces notifications sont liées à la récente fuite d’une quantité massive de données client AT&T sur les forums de piratage de violation qui ont été proposées à la vente pour 1 million de dollars en 2021.

Lorsque l’acteur de la menace ShinyHunters a mis en vente pour la première fois les données d’AT&T en 2021, la société a déclaré à Breachtrace que la collection ne leur appartenait pas et que leurs systèmes n’avaient pas été violés.

Le mois dernier, lorsqu’un autre acteur de la menace connu sous le nom de « MajorNelson » a divulgué l’intégralité de l’ensemble de données sur le forum de piratage, AT&T a de nouveau déclaré à Breachtrace que les données ne provenaient pas d’eux et que leurs systèmes n’avaient pas été violés.

Après que Breachtrace a confirmé que les données appartenaient aux comptes AT&T et DirectTV, et que TechCrunch a signalé que les codes d’accès AT&T se trouvaient dans le vidage des données, AT & T a finalement confirmé que les données leur appartenaient.

Alors que la fuite contenait des informations sur plus de 70 millions de personnes, AT&T affirme maintenant qu’elle a touché un total de 51 226 382 clients.

« Les informations [exposées] variaient selon les individus et les comptes, mais pouvaient inclure le nom complet, l’adresse e-mail, l’adresse postale, le numéro de téléphone, le numéro de sécurité sociale, la date de naissance, le numéro de compte AT&T et le mot de passe AT&T », lit la notification.

« À notre connaissance, les informations financières personnelles et l’historique des appels n’étaient pas inclus. D’après notre enquête à ce jour, les données semblent dater de juin 2019 ou plus tôt. »

Breachtrace a contacté AT & T pour lui demander pourquoi il y avait une telle différence entre les clients concernés, mais n’a pas eu de réponse au moment de la publication.

L’entreprise n’a toujours pas révélé comment les données ont été volées et pourquoi il leur a fallu près de cinq ans pour confirmer qu’elles leur appartenaient et alerter les clients.

De plus, la société a déclaré au Bureau du procureur général du Maine qu’elle avait appris la violation pour la première fois le 26 mars 2024, mais Breachtracea contacté AT&T pour la première fois à ce sujet le 17 mars et les informations étaient à vendre en premier en 2021.

Bien qu’il soit probablement trop tard, car les données circulent en privé depuis des années, AT&T offre un an de protection contre le vol d’identité et de services de surveillance du crédit via Experian, avec des instructions jointes aux avis. La date limite d’inscription a été fixée au 30 août 2024, mais les personnes exposées devraient se déplacer beaucoup plus rapidement pour se protéger.

Les destinataires sont invités à rester vigilants, à surveiller leurs comptes et leurs rapports de solvabilité pour détecter toute activité suspecte et à traiter les communications non sollicitées avec une grande prudence.

Pour la faille de sécurité admise et le retard massif dans la vérification des allégations de violation de données et l’information des clients concernés en conséquence, AT&T fait face à de multiples recours collectifs aux États-Unis.

Étant donné que les données ont été volées en 2021, les cybercriminels ont eu amplement l’occasion d’exploiter l’ensemble de données et de lancer des attaques ciblées contre les clients exposés d’AT&T.

Cependant, l’ensemble de données a maintenant été divulgué à la communauté plus large de la cybercriminalité, augmentant de manière exponentielle le risque pour les anciens et actuels clients d’AT&T.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *