AT&T ha comenzado a notificar a las autoridades y reguladores estatales de EE. UU. sobre un incidente de seguridad después de confirmar que millones de registros de clientes publicados en línea el mes pasado eran auténticos.
En una presentación legalmente requerida ante la oficina del fiscal general de Maine, el gigante estadounidense de las telecomunicaciones dijo que envió cartas notificando a más de 51 millones de personas que su información personal se vio comprometida en la violación de datos, incluidas alrededor de 90.000 personas en Maine. AT&T también notificó al fiscal general de California sobre la infracción.
AT&T, la empresa de telecomunicaciones más grande de Estados Unidos, dijo que los datos filtrados incluían el nombre completo de los clientes, dirección de correo electrónico, dirección postal, fecha de nacimiento, número de teléfono y número de Seguro Social.
La información de clientes filtrada se remonta a mediados de 2019 y antes. Según AT&T, los registros contenían datos válidos sobre más de 7,9 millones de clientes actuales de AT&T.
AT&T tomó medidas unos tres años después de que un subconjunto de los datos filtrados apareciera por primera vez en línea, lo que impidió cualquier análisis significativo de los datos. El caché completo de 73 millones de registros de clientes filtrados se publicó en línea el mes pasado, lo que permitió a los clientes verificar que sus datos eran genuinos. Algunos de los registros incluían duplicados.
Los datos filtrados también incluían contraseñas de cuentas cifradas, que permiten el acceso a las cuentas de los clientes.
Poco después de que se publicara el conjunto de datos completo, un investigador de seguridad notificó a TechCrunch que las contraseñas cifradas encontradas en los datos filtrados eran fáciles de descifrar. AT&T restableció esas contraseñas de cuentas después de que TechCrunch alertara a AT&T el 26 de marzo sobre el riesgo que representaba para los clientes. TechCrunch mantuvo su historia hasta que AT&T pudiera completar el proceso de restablecer las contraseñas de los clientes afectados.
AT&T finalmente reconoció que los datos filtrados pertenecen a sus clientes, incluidos unos 65 millones de antiguos clientes.
Las empresas que experimentan violaciones de datos que afectan a un gran número de personas deben revelar el incidente a los fiscales generales de los Estados Unidos según las leyes estatales de notificación de violaciones de datos. En sus avisos presentados en Maine y California, AT&T dijo que ofrece robo de identidad y monitoreo de crédito a los clientes afectados.
AT&T aún no ha identificado la fuente de la filtración.