El gigante telefónico AT&T ha restablecido millones de contraseñas de cuentas de clientes después de que a principios de este mes se publicara en línea un enorme caché de datos que contenía registros de clientes de AT&T, según se enteró TechCrunch en exclusiva.
El gigante estadounidense de las telecomunicaciones inició el restablecimiento masivo del código de acceso después de que TechCrunch informara a AT&T el lunes que los datos filtrados contenían códigos de acceso cifrados que podrían usarse para acceder a las cuentas de los clientes de AT&T.
Un investigador de seguridad que analizó los datos filtrados le dijo a TechCrunch que las contraseñas cifradas de las cuentas son fáciles de descifrar. TechCrunch alertó a AT&T sobre los hallazgos del investigador de seguridad.
En un comunicado proporcionado el sábado, AT&T dijo: “AT&T ha iniciado una investigación sólida respaldada por expertos en ciberseguridad internos y externos. Según nuestro análisis preliminar, el conjunto de datos parece ser de 2019 o antes, lo que afecta a aproximadamente 7,6 millones de titulares actuales de cuentas de AT&T y aproximadamente 65,4 millones de antiguos titulares de cuentas”.
«AT&T no tiene evidencia de acceso no autorizado a sus sistemas que haya resultado en la exfiltración del conjunto de datos», dice el comunicado.
TechCrunch retrasó la publicación de esta historia hasta que AT&T pudiera comenzar a restablecer las contraseñas de las cuentas de los clientes. AT&T también tiene una publicación sobre lo que los clientes pueden hacer para mantener sus cuentas seguras.
Los códigos de acceso de cuentas de clientes de AT&T suelen ser números de cuatro dígitos que se utilizan como una capa adicional de seguridad al acceder a la cuenta de un cliente, como al llamar al servicio de atención al cliente de AT&T, en tiendas minoristas y en línea.
Esta es la primera vez que AT&T reconoce que los datos filtrados pertenecen a sus clientes, unos tres años después de que un pirata informático reclamara el robo de 73 millones de registros de clientes de AT&T. AT&T había negado una violación de sus sistemas, pero la fuente de la filtración sigue sin ser concluyente.
AT&T dijo el sábado que «aún no se sabe si los datos en esos campos se originaron en AT&T o en uno de sus proveedores».
En 2021, el pirata informático que alegó la violación de AT&T publicó solo una pequeña muestra de registros, lo que dificultó verificar si los datos eran auténticos. A principios de marzo, un vendedor de datos publicó en línea los 73 millones de supuestos registros de AT&T en un conocido foro sobre delitos cibernéticos, lo que permitió un análisis más detallado de los registros filtrados. Desde entonces, los clientes de AT&T han confirmado que los datos de su cuenta filtrados son precisos.
Los datos filtrados incluyen nombres de clientes de AT&T, domicilios, números de teléfono, fechas de nacimiento y números de Seguro Social.
investigador de seguridad Sam “Chick3nman” Croley le dijo a TechCrunch que cada registro de los datos filtrados también contiene el código de acceso de la cuenta del cliente de AT&T en un formato cifrado. Croley verificó dos veces sus hallazgos buscando registros en los datos filtrados con códigos de acceso de cuentas de AT&T que solo él conocía.
Croley dijo que no era necesario descifrar el cifrado para descifrar los datos del código de acceso.
Croley tomó todas las contraseñas cifradas del conjunto de 73 millones de datos y eliminó todos los duplicados. El resultado ascendió a alrededor de 10,000 valores cifrados únicos, que se correlacionan con cada permutación de código de acceso de cuatro dígitos que van desde 0000 a 9999, con algunos valores atípicos para el pequeño número de clientes de AT&T con códigos de acceso de cuenta de más de cuatro dígitos.
Según Croley, la aleatoriedad insuficiente de los datos cifrados significa que es posible adivinar el código de acceso de la cuenta de cuatro dígitos del cliente basándose en la información circundante en el conjunto de datos filtrados.
No es raro que las personas establezcan códigos de acceso (especialmente si se limitan a cuatro dígitos) que signifiquen algo para ellos. Podrían ser los últimos cuatro dígitos de un número de Seguro Social o el número de teléfono de la persona, el año de nacimiento de alguien o incluso los cuatro dígitos del número de una casa. Todos estos datos circundantes se encuentran en casi todos los registros del conjunto de datos filtrados.
Al correlacionar los códigos de acceso de las cuentas cifradas con los datos de la cuenta circundante, como las fechas de nacimiento de los clientes, los números de casa y los números parciales de Seguro Social y números de teléfono, Croley pudo realizar ingeniería inversa sobre qué valores cifrados coincidían con cada código de acceso de texto sin formato.
AT&T dijo que se comunicará con los 7,6 millones de clientes existentes cuyas contraseñas restableció, así como con los clientes actuales y anteriores cuya información personal se vio comprometida.