黑客泄露 AT&T 8600 万条记录，其中包含解密的 SSN

黑客泄露了声称属于 AT&T 的数据库，据报道，该数据库于 2024 年 4 月被 ShinyHunters 组织利用 Snowflake 云数据平台的重大安全漏洞窃取。但这真的就是与 Snowflake 相关的数据吗？我们进行了深入分析。

Hackread.com 研究团队发现，这些数据于 2025 年 5 月 15 日首次发布在俄罗斯一个知名网络犯罪论坛上，并于 2025 年 6 月 3 日在同一论坛上重新上传，之后开始在其他黑客和论坛中流传。

截图显示，这些数据目前已在两个网络犯罪论坛上泄露。黑客声称其中包含 7000 万条客户记录，但 Hackread.com 确认，实际包含 8600 万条 AT&T 客户记录。（图片来源：Hackread.com）

在分析泄露的数据后，我们发现其中包含一系列详细的个人信息。这些数据点本身就构成了严重的隐私风险，而它们组合在一起，则构成了完整的身份档案，可能被用于欺诈或身份盗窃。这些数据包括：

• 全名

• 出生日期

• 电话号码

• 电子邮件地址

• 物理地址

• 4400 万个社会安全号码 (SSN)（总计 43,989,219 个）

纯文本和完整社会安全号码 (SSN) 泄露

令人不安的是：威胁者声称，出生日期和社会安全号码 (SSN) 最初都是加密的，但后来被完全解密，并以纯文本形式包含在泄露的数据中。简而言之，如果你是 AT&T 的客户，你的 SSN 可能就是此次泄露的一部分。

泄露数据的截图（来源：Hackread.com）

这并没有带来太大的变化；您的 SSN 很可能已经在 2024 年 8 月的国家公共数据泄露事件中暴露，当时一名现已被捕的黑客使用别名 USDOD，在网上泄露了超过 32 亿个 SSN 和其他个人信息。

AT&T Snowflake 数据泄露事件背景

AT&T 大规模数据泄露事件由来已久，所以如果你觉得这很熟悉，那不是你的错觉。系好安全带，这只是一个不断增长的案例中的最新一起。

2024 年 4 月，据 Hackread.com 报道，AT&T 遭遇重大数据泄露，黑客访问了其 Snowflake 云环境，泄露了近 1.1 亿客户的通话和文本元数据。

此次泄露事件从 2022 年 5 月持续到 2022 年 10 月，其中包括 2023 年 1 月的一些记录、泄露的电话号码、互动次数和通话时长，但不包括通信内容或个人身份信息。

此次网络攻击是针对超过 160 名 Snowflake 客户的大规模攻击活动的一部分。黑客利用窃取的、缺乏多因素身份验证的凭证入侵了这些环境。

AT&T 的受损数据被一名与 ShinyHunters 组织有关联的黑客窃取。报告显示，AT&T 支付了约 37 万美元的比特币赎金，以删除被盗数据，这笔交易通过一个名为 Reddington 的中间人完成。

值得注意的是，ShinyHunters 集团还对与 Snowflake 安全漏洞相关的 Ticketmaster 重大数据泄露事件负责，此次事件中 5.6 亿用户的数据被在网上出售。

为了应对此次数据泄露，AT&T 与第三方网络安全专家启动了事件响应流程，关闭了未经授权的接入点，并通知了受影响的客户。该公司表示，他们不认为这些数据是公开的。

此次数据泄露事件引发了美国议员的密切关注，参议员理查德·布卢门撒尔（Richard Blumenthal）和乔希·霍利（Josh Hawley）要求 AT&T 和 Snowflake 就导致此次事件的安全漏洞做出解释。他们对恶意行为者滥用泄露数据表示担忧。

这是 Snowflake 泄露的 AT&T 数据库吗？别急。

最新泄密事件背后的威胁行为者声称，该数据库包含 7000 万条 AT&T 客户记录，这些记录于 2024 年 4 月被窃取，窃取者利用了 Snowflake 云数据仓库中的一个重大安全漏洞。

“最初是 Snowflake 数据泄露事件中的一个数据库，这是我创建的备份，”数据泄露事件背后的账户写道。但这种说法站得住脚吗？不完全是。

Hackread.com 的分析显示，该数据集实际上包含超过 8800 万条（88,320,018）条记录。删除重复项后，唯一记录数量降至超过 8600 万条（86,017,090），远超官方宣称的 7000 万条。

还有一个问题。此次数据库内容与与 Snowflake 相关的 AT&T 数据泄露事件中报告的内容并不完全一致。据报道，那次泄露事件暴露了近 1.1 亿条客户记录，其中包括通话和短信元数据；而这些记录在此次泄露事件中均未出现。

那么，这是否是 Snowflake 数据泄露事件中 AT&T 数据库的一部分呢？可能是，也可能不是。但除非 AT&T 官方确认，否则无法确定。

但还有更多

2021 年 8 月，臭名昭著的黑客组织 ShinyHunters 声称拥有一个包含超过 7000 万 AT&T 客户个人信息的数据库。他们在现已被查封的 Raid Forums 市场上挂牌出售这些数据，起价 20 万美元。

Hackread.com 审查了该组织于 2021 年提供的样本记录，其中包括全名、地址、邮政编码、出生日期、电子邮件地址以及加密的社会安全号码 (SSN)。AT&T 回应称，根据他们的调查，这些信息似乎并非源自他们的系统。

然而，在否认了近两年之后，AT&T 于 2024 年 4 月承认了 2021 年 8 月的数据泄露事件，当时 ShinyHunters 在 BreachForums 上泄露了完整的数据库。该公司承认：“根据我们的初步分析，该数据集似乎来自 2019 年或更早，影响了约 760 万 AT&T 现有账户持有人和 6540 万前账户持有人。”

2024 年 4 月 AT&T 泄密事件与最新泄密事件的异同

Hackread.com 注意到 2024 年 4 月 AT&T 数据泄露事件与最新一次泄露事件之间存在一些相似之处和差异。2024 年 4 月的泄露事件结构混乱，数据结构松散，以竖线分隔，没有字段标签，如果没有相应的模式来解释每个值，就很难进行解读或分析。

最新泄露的数据结构清晰，格式清晰，并直接划分为三个 CSV 文件，方便用户理解每个字段的含义。有趣的是，两次泄露数据最大的相似之处和不同之处是对社会安全号码 (SSN) 的处理。在 2024 年的泄露中，SSN 是加密的。然而，在最新泄露中，这些 SSN 似乎已被解密。

Hackread.com 进行了详细的分析，发现之前泄露的所有加密的 SSN 均已在新的数据集中被仔细解密和映射，这使得它们更容易被恶意使用。

图片来源：Hackread.com

我们还发现两次泄密事件中，客户姓名、电子邮件地址、实际地址和电话号码都吻合。然而，2024 年的泄密事件包含约 7300 万条记录，而最新的数据集则包含 8600 万条记录。

这使得我们无法确定新的泄露究竟是简单的 2024 年数据库解密值，还是源自最近与 Snowflake 相关的数据泄露事件。即便如此，这些数据看起来是合法的，尤其是在 AT&T 已经承认了之前的泄露事件和数据泄露之后。

“AT&T 敏感记录最初的泄露事件足以让客户担忧，现在更是对他们的身份构成了重大风险，”Black Duck 基础设施安全业务总监 Thomas Richards 表示。“由于出生日期和社会安全号码 (SSN) 均被泄露，恶意行为者掌握了实施欺诈和冒充 AT&T 客户所需的所有信息。如果受影响的用户尚未收到通知，他们应该收到通知并积极监控自己的信用状况，以发现任何欺诈迹象。”

我们的结论

目前，很难确定新泄露的数据库是 2024 年 Snowflake 数据泄露事件的解密版本、单独泄露的数据，还是两者兼而有之。不过，可以肯定的是，大量高度敏感的 AT&T 客户数据再次流传，这一次的形式更有组织，也更危险。

随着社保号码被解密、个人信息被完整泄露，以及数据被反复泄露的现象日益猖獗，受影响用户的风险比以往任何时候都高。尽管 AT&T 承认过去存在数据泄露事件，但该公司尚未确认此次最新数据集是同一事件的一部分，还是全新的事件。

不幸的是，在正式回复发布之前，毫无戒心的用户只能依靠我们的报告和论坛来了解其受影响的范围。尽管如此，我们还是联系了 AT&T，本文将进行相应更新。

更新（2025 年 6 月 4 日 - 22:49 GMT）：

AT&T 对 Hackread.com 的询问做出了以下官方声明回应：

网络犯罪分子将先前披露的数据重新打包以获取经济利益的情况并不少见。我们刚刚获悉，AT&T 的数据正在暗网论坛上出售，我们正在进行全面调查。