[MàJ] Fuite de données des 110 millions de clients AT&T : Snowflake s’explique

Mise à jour du 18 juillet à 11h15 : Interrogée, Snowflake nous a indiqué que le vol de données sur ses serveurs n'était pas le résultat d'une compromission.

« L'acteur de la menace a utilisé les identifiants de compte de démonstration d'un ancien employé de Snowflake, obtenus via un malware de type infostealer. Cet accès a été possible parce que ces comptes de démonstration n'étaient pas protégés par la connexion unique (SSO) ou l'authentification multifacteur (MFA), contrairement aux environnements de production et d'entreprise Snowflake », nous a répondu l'entreprise.

Article original du 12 juillet : L’opérateur américain prévient actuellement ses clients d’une gigantesque fuite de données. Contrairement à celle d’avril, les données n’ont pas été volées sur ses propres serveurs, mais ceux de la société Snowflake, qui analysait les informations fournies par AT&T.

Dans un message fraichement publié par AT&T, on apprend que de nombreuses données de clients ont été « illégalement téléchargées » depuis un espace de travail sur « une plateforme cloud tierce ». L’opérateur envoie depuis hier des emails aux clients pour les prévenir de la fuite. La SEC (Securities and Exchange Commission) a également été informée.

Une avalanche de métadonnées

Les informations dérobées sont essentiellement des métadonnées datant de mai à octobre 2022, bien que certaines datent du 2 janvier 2023. Rien de plus récent ne semble avoir fuité. Le contenu des appels et SMS n’est pas concerné. Cependant, les métadonnées sont précises :

« Ces enregistrements identifient d'autres numéros de téléphone avec lesquels un numéro de téléphone sans fil AT&T a interagi pendant cette période, y compris des clients de lignes terrestres AT&T (téléphone à domicile). Pour un sous-ensemble d'enregistrements, un ou plusieurs numéros d'identification de site cellulaire associés aux interactions sont également inclus. »

En d’autres termes, les informations permettent de savoir quel client AT&T a téléphoné à qui et combien de temps, et parfois dans quelle zone. Même chose pour les SMS. En revanche, les métadonnées ne contiennent pas les horodatages, que ce soit pour les appels ou les SMS.

La fuite est donc moins « grave » que celle révélée début avril. Pour rappel, des informations personnelles, dont des numéros de sécurité sociale, avaient été dérobés pour 70 millions de clients.

• NextAT&T s’est fait dérober des données de 73 millions de clients - Next

AT&T avait réinitialisé les codes d’accès de toutes les personnes concernées. Cette fois, même s’il n’y a pas à proprement parler de données sensibles, c’est la quasi-totalité des clients de l’opérateur qui sont concernés, soit 110 millions de personnes.

« Bien que les données ne contiennent pas les noms des clients, il est souvent possible de trouver un nom associé à un numéro de téléphone à l'aide d'outils en ligne accessibles au public », avertit tout de même l'opérateur.

Des données volées chez un prestataire

AT&T ne le précise pas dans son annonce, mais l’a confirmé à TechCrunch : la plateforme appartient à Snowflake. Il y a un mois environ, Mandiant avait prévenu qu’un « volume significatif de données » avait été dérobé à l’entreprise au début du printemps. Là encore, un responsable d’AT&T a confirmé à nos confrères que les informations des clients de l’opérateur en faisaient partie. En tout, 165 entreprises clientes avaient été concernées, dont TicketMaster.

Snowflake s’est fait une spécialité de l’analyse d’énormes quantités de données dans son cloud. AT&T n’a cependant pas indiqué pourquoi les données des clients y étaient et n’a pas souhaité s’exprimer sur le sujet.

L’opérateur dit avoir été informé de la fuite le 19 avril. Depuis cette date, il collabore avec les forces de l’ordre pour en retrouver les auteurs. « Au moins une personne » aurait été appréhendée, sans plus de détails. Tout juste sait-on qu’elle n’est pas employée chez AT&T. Le FBI, vers qui l’opérateur renvoyait pour les questions à ce sujet, n’a pas fait de commentaire.