Security Week 2429: утечка у оператора AT&T и уязвимость учеток Snowflake

На прошлой неделе американский сотовый оператор AT&T объявил о масштабной утечке клиентских данных (официальное заявление компании, новость и обсуждение на Хабре). Пострадали практически все клиенты оператора, включая абонентов MVNO, использующих сеть AT&T,— а это как минимум 110 миллионов абонентов сотовой связи, не считая пользователей традиционной телефонии. Утекло то, что можно назвать логами или метаданными: в базе содержатся записи о входящих и исходящих звонках, их дате и длительности, номера телефонов, данные о полученных и отправленных SMS. Об утечке компания узнала еще в апреле и по законам США должна была раскрыть информацию публично, но получила отсрочку от регулятора ввиду чувствительности информации.


Инцидент тесно связан с другими утечками корпоративных данных, произошедшими в апреле–мае этого года и связанными с атаками на плохо защищенные учетные записи в сервисе Snowflake, предоставляющем услуги облачного хостинга. В июне сообщалось о том, что злоумышленники получили доступ к данным 165 клиентов Snowflake, включая, например, испанский банк Santander, сеть магазинов Advance Auto Parts и сервис по продаже билетов на концерты Ticketmaster. По данным компании Mandiant, причиной масштабной атаки не была какая-либо уязвимость в облачном сервисе. Все пострадавшие учетки не были должным образом защищены: доступ к ним был возможен с помощью простой пары логин-пароль, а доступные на сервисе средства многофакторной аутентификации не были активированы. Данные к учетным записям попадали в руки злоумышленников в результате работы вредоносного программного обеспечения.

Инцидент в AT&T выделяется масштабом утечки и чувствительностью данных, попавших в руки злоумышленников. Информация о звонках и SMS, по идее, должна быть максимально защищена и предоставляться только по запросу правоохранительных органов. Можно предположить, что использование Snowflake было простым решением какой-то технической задачи, которое оказалось еще и максимально небезопасным. Официальное уведомление AT&T для контролирующих органов раскрывает чуть больше деталей. AT&T узнала об утечке 19 апреля, но неправомерный доступ к данным продолжался вплоть до 25 апреля. В незащищенной базе данных содержались метаданные за период с 1 мая по 31 октября 2022 года, а также отдельно за 2 января 2023 года.

14 июля история получила неожиданное развитие: издание WIRED опубликовало информацию о том, что 17 мая AT&T предположительно заплатила выкуп взломщикам в размере 5,7 биткоина, или на тот момент около 370 тысяч долларов. Взамен представителям компании была предоставлена видеозапись, на которой взломщик удаляет якобы единственную полную копию утекших данных. Впрочем, есть вероятность, что базу украл один киберпреступник, а деньги получил другой человек. Сэмплы из большой базы в любом случае успели разойтись «по рукам» и могут попасть в открытый доступ. AT&T пообещала уведомить клиентов, чьи данные оказались в утекшей базе, и предоставила сервис, позволяющий проверить, какая именно информация могла попасть в руки злоумышленников.

До взлома AT&T наиболее серьезный инцидент с незащищенной базой данных Snowflake произошел у компании Ticketmaster. Злоумышленники, получившие доступ к их базе данных, потребовали выкуп и периодически публиковали в общем доступе «выдержки» из утечки, включая штрихкоды для посещения концертов.

Что еще произошло

Критическая уязвимость обнаружена в агенте по пересылке электронной почты Exim. Ошибка теоретически позволяет доставлять абонентам вредоносные вложения.

Исследователи «Лаборатории Касперского» отмечают, что в массовых фишинговых атаках начали применяться методы, ранее замеченные в кампаниях, нацеленных на конкретную организацию. В качестве примера в статье приводится поддельное письмо якобы из отдела кадров со ссылкой на фишинговую страницу. Цель злоумышленников — украсть пароль от корпоративной учетки в сервисах Microsoft. Это качественно разработанная фишинговая атака, которая при этом рассылается массово.

На прошлой неделе широко обсуждалась особенность браузера Chrome: он открывает эксклюзивный доступ к данным о загрузке процессора сервисам Google. Делается это вроде бы в благих целях: например, сервис Google Meet на основе этой информации может изменять битрейт передаваемых видеоданных, обеспечивая оптимальную производительность. Проблема заключается в том, что другие сайты доступа к подобной информации не имеют, что обеспечивает Google определенное конкурентное преимущество и может быть расценено как нечестная бизнес-практика. Ответственный за эту функциональность код находится в открытом доступе и работает также в других браузерах на движке Chromium.

В предыдущем дайджесте мы писали о том, что клиент Signal для macOS хранит архив переписки и ключ для шифрования данных открытым текстом. Проблема известна как минимум с 2018 года, и на фоне очередной волны критики разработчики мессенджера запланировали внедрение дополнительной защиты пользовательской информации для пользователей компьютеров Apple. Новая фича должна появиться в следующей бета-версии мессенджера.