电话记录泄露事件带来的巨大危险

从有针对性的窃听到大规模监控，电话公司几十年来一直是隐私问题的中心，而且它们备受关注的时代还没有结束。

上周五，电信巨头AT&T宣布，该公司最近遭遇了数据泄露，影响了“几乎所有”客户的通话和短信记录。

该公司正在通知约1.1亿人他们受到了影响。

AT&T在一份美国证券交易委员会的文件中表示，该公司于4月19日获悉了数据泄露事件。

攻击者在4月14日至4月25日期间窃取了数据。

该公司在提交给美国证券交易委员会的文件中表示，美国司法部于5月9日和6月5日两次批准推迟披露数据泄露事件，以待调查。

AT&T补充说，它“正在与执法部门合作，努力逮捕涉案人员”。

到目前为止，“至少有一人被捕”。

这确实很糟糕，威胁者在这里窃取的基本上是通话数据记录。

这些数据是情报分析的金矿，因为它们可以让人们了解电话网络，谁在和谁通话，何时通话。

威胁者拥有以前入侵的数据，可以将电话号码与身份联系起来。

但即使没有电话号码的身份数据，封闭网络（号码只与同一网络中的其他人通信）也几乎总是很有趣。

这起事件意义重大，不仅因为其规模和影响范围之广，还因为AT&T表示，这是一系列令人震惊的数据盗窃事件中的最新一起，这些事件均由攻击者入侵组织的Snowflake云账户而导致。

Snowflake是一个数据仓库平台，攻击者近几个月收集了其客户的账户凭证，窃取了约165个Snowflake客户的数亿条记录，其中包括Ticketmaster、桑坦德银行和LendingTree的QuoteWizard。

黑客如何从 Snowflake 窃取 Ticketmaster 数据

AT&T的数据来自固定电话和手机账户，时间跨度为2022年5月1日至2022年10月31日。

另有一小部分未公开的用户的记录在此次入侵中被盗，时间跨度为2023年1月2日。

该公司表示，数据库“不包含通话或短信内容”，也不包括通信日期和时间。

但攻击者确实窃取了电话号码和大量有关通话和短信的所谓“元数据”，包括谁联系了谁、通话时长以及客户的总通话和短信数量。

数据库还包括一些基站识别号，本质上是手机信号塔数据，可用于估算手机拨打或接听电话或短信时的位置。

这些数据包括一些电话运营商（即“移动虚拟网络运营商”）客户的记录，这些运营商与AT&T签订合同，使用大公司的网络和基础设施为他们提供服务。

而且，至关重要的是，被盗数据暴露了那些在相关时间段内与AT&T客户沟通时与AT&T没有任何关系的人。

虽然从各方面来看，这次数据泄露都不算最坏情况（例如，数据中不包含社保号等可识别客户的信息），但对于想要发起引人注目的网络钓鱼攻击和其他诈骗活动，针对个人或特定群体的攻击者来说，这可能是一座金矿。

这次数据泄露强调，即使没有通信内容，泄露的元数据仍会对人们的隐私和安全产生重大影响。

这就是为什么隐私权倡导者长期以来一直将通信平台（即安全消息应用程序Signal）与不会在同等程度上限制元数据使用的其他通信平台区分开来。

这甚至包括其他端到端加密服务，如WhatsApp。

谷歌旗下的网络安全公司Mandiant调查了一系列Snowflake账户入侵事件，并于6月表示，这些攻击的幕后黑手是名为UNC5537的以经济为目的的犯罪黑客。

该组织使用窃取信息的恶意软件获取公司Snowflake账户的凭证，然后轻松登录任何未启用双因素身份验证的账户。

Snowflake账户的安全功能默认关闭。此后，Snowflake实施了新的多因素身份验证政策。

AT&T强调，它“不相信”此次入侵中窃取的数据是公开的。但这并不意味着窃取这些数据的人不会对它构成威胁。

美国网络安全和基础设施安全局发布了有关这一情况的警报。

尽管只有少数Snowflake攻击的受害者站出来指证，但黑客已经在向受影响的公司打广告、试图出售数据，并索要赎金，以补偿他们从Snowflake账户中窃取的数据。

包括ShinyHunters和另一个名为Sp1d3rHunters的账户在内的攻击者一直在网络犯罪市场BreachForums上宣传这些数据。

该网站最近在被执法部门取缔后复活，并要求公司支付数百万美元以删除这些数据。

原文始发于微信公众号（网络研究观）：电话记录泄露事件带来的巨大危险