Imágenes falsas | VER prensa
AT&T restableció las contraseñas de millones de clientes después de reconocer una filtración masiva que involucraba los datos de 73 millones de suscriptores actuales y anteriores.
«Según nuestro análisis preliminar, el conjunto de datos parece ser de 2019 o antes, lo que afecta a aproximadamente 7,6 millones de titulares actuales de cuentas de AT&T y aproximadamente 65,4 millones de antiguos titulares de cuentas», dijo AT&T en una actualización publicada en su sitio web el sábado.
Un artículo de soporte de AT&T decía que el operador «se está comunicando con los 7,6 millones de clientes afectados y ha restablecido sus contraseñas. Además, nos comunicaremos con los titulares de cuentas actuales y anteriores con información personal confidencial comprometida». AT&T dijo que la información filtrada variaba según el cliente, pero incluía nombres completos, direcciones de correo electrónico, direcciones postales, números de teléfono, números de Seguro Social, fechas de nacimiento, números de cuenta de AT&T y contraseñas.
El reconocimiento de la filtración por parte de AT&T la describió como «campos específicos de datos de AT&T [that] estaban contenidos en un conjunto de datos publicados en la web oscura». Pero los mismos datos parecen estar también en la web abierta. Como escribió el investigador de seguridad Troy Hunt, los datos están «a la vista en un foro público al que pueden acceder fácilmente un navegador web normal.»
El foro de hacking tiene una versión pública accesible con cualquier navegador y un servicio oculto que requiere una conexión a la red Tor. Según las publicaciones del foro que vimos hoy, la filtración parece haber aparecido tanto en la versión pública como en la versión Tor del foro de piratería el 17 de marzo de este año. Para ver los datos de AT&T se requiere una cuenta de foro de piratería y «créditos» del sitio que se pueden comprar u obtener publicando en el foro.
Hunt le dijo a Ars hoy que el término «web oscura» es «incorrecto y engañoso» en este caso. El foro donde aparecieron los datos de AT&T «no cumple con la definición de web oscura», escribió en un correo electrónico. «Sin software especial, sin red especial, solo un navegador antiguo y simple. Es fácilmente detectable a través de una búsqueda en Google y muestra inmediatamente mucha PII. [Personal Identifiable Information] registros de la infracción de AT&T. La inscripción es entonces gratuita para cualquier persona y la única barrera que queda es la obtención de créditos.»
Nos comunicamos con AT&T hoy y actualizaremos este artículo si recibimos una respuesta.
49 millones de direcciones de correo electrónico
La publicación de Hunt del 19 de marzo decía que la información filtrada incluía un archivo con 73.481.539 líneas de datos que contenían 49.102.176 direcciones de correo electrónico únicas. Otro archivo con números de Seguro Social descifrados tenía 43.989.217 líneas, escribió.
Hunt, que dirige la base de datos «Have I Been Pwned» que le permite verificar si su correo electrónico sufrió una violación de datos, dice que los 49 millones de direcciones de correo electrónico en la filtración de AT&T se agregaron a su base de datos.
BleepingComputer cubrió la filtración hace dos semanas y escribió que son los mismos datos involucrados en un incidente de 2021 en el que un pirata informático compartió muestras de los datos e intentó vender el conjunto completo de datos por 1 millón de dólares. En 2021, AT&T le dijo a BleepingComputer que «la información que apareció en una sala de chat de Internet no parece provenir de nuestros sistemas».
AT&T mantuvo esa posición el mes pasado. «AT&T continúa diciéndole a BleepingComputer hoy que todavía no ven evidencia de una violación en sus sistemas y todavía creen que estos datos no se originaron en ellos», decía el artículo del sitio de noticias del 17 de marzo de 2024.
AT&T dice que los datos pueden provenir de él mismo o de su proveedor
La actualización de AT&T del 30 de marzo reconoció que los datos pueden provenir de la propia AT&T, pero dijo que también pueden provenir de un proveedor de AT&T:
AT&T ha determinado que los campos específicos de datos de AT&T estaban contenidos en un conjunto de datos publicado en la web oscura hace aproximadamente dos semanas. Si bien AT&T ha tomado esta determinación, aún no se sabe si los datos en esos campos se originaron en AT&T o en uno de sus proveedores. Con respecto al resto del conjunto de datos, que incluye información personal como números de Seguro Social, la fuente de los datos aún se está evaluando.
«Actualmente, AT&T no tiene evidencia de acceso no autorizado a sus sistemas que resulte en la exfiltración del conjunto de datos», decía también la actualización de la compañía. AT&T dijo que «se está comunicando de manera proactiva con los afectados y ofrecerá monitoreo de crédito a nuestra costa cuando corresponda».
AT&T dijo que las contraseñas que restablece son generalmente de cuatro dígitos y son diferentes de las contraseñas de las cuentas de AT&T. Los códigos de acceso se utilizan al llamar al servicio de atención al cliente, al administrar una cuenta en una tienda minorista y al iniciar sesión en el sitio web de AT&T «si ha elegido seguridad adicional».