Mulai dari penyadapan yang ditargetkan hingga jaringan pengawasan massal, perusahaan telepon telah menjadi pusat perhatian dalam masalah privasi selama beberapa dekade—dan masa kejayaan mereka belum berakhir. Pada hari Jumat, raksasa telekomunikasi AT&T diumumkan bahwa baru-baru ini terjadi pelanggaran data yang memengaruhi rekaman panggilan dan pesan teks dari “hampir semua” pelanggannya. Perusahaan tersebut sedang dalam proses memberi tahu sekitar 110 juta orang bahwa mereka terkena dampaknya.
AT&T mengatakan dalam sebuah pernyataan di Komisi Sekuritas dan Bursa AS pengarsipan bahwa mereka mengetahui tentang pelanggaran data tersebut pada tanggal 19 April. Para penyerang mencuri data antara tanggal 14 April dan 25 April. Perusahaan tersebut mengatakan dalam pengajuannya kepada SEC bahwa Departemen Kehakiman AS mengizinkan pengungkapan pelanggaran yang tertunda pada tanggal 9 Mei dan sekali lagi pada tanggal 5 Juni, sambil menunggu penyelidikan. AT&T menambahkan bahwa mereka “bekerja sama dengan penegak hukum dalam upayanya untuk menangkap mereka yang terlibat dalam insiden tersebut.” Sejauh ini, “setidaknya satu orang telah ditangkap.”
“Ya, ini benar-benar buruk,” kata Jake Williams, wakil presiden penelitian dan pengembangan di konsultan keamanan siber Hunter Strategy. “Apa yang dicuri oleh pelaku ancaman di sini pada dasarnya adalah rekaman data panggilan. Ini adalah tambang emas dalam analisis intelijen karena memungkinkan seseorang untuk memahami jaringan—siapa yang berbicara dengan siapa dan kapan. Dan pelaku ancaman memiliki data dari kompromi sebelumnya untuk memetakan nomor telepon ke identitas. Tetapi bahkan tanpa mengidentifikasi data untuk nomor telepon, jaringan tertutup—di mana nomor hanya berkomunikasi dengan orang lain dalam jaringan yang sama—hampir selalu menarik.”
Insiden ini penting bukan hanya karena skala dan jangkauannya, tetapi juga karena AT&T mengatakan bahwa ini adalah insiden terbaru Serangkaian pencurian data yang mengejutkan yang diakibatkan oleh penyerang yang membahayakan akun cloud Snowflake milik organisasi. Snowflake adalah platform pergudangan data, dan penyerang mengumpulkan kredensial akun pelanggannya dalam beberapa bulan terakhir untuk mencuri ratusan juta rekaman dari sekitar 165 klien Snowflake, termasuk pemilik tiketbank Santander, dan QuoteWizard LendingTree.
Data AT&T berasal dari akun telepon rumah dan seluler dan mencakup 1 Mei 2022 hingga 31 Oktober 2022. Sejumlah orang yang lebih kecil dan tidak disebutkan namanya juga memiliki catatan dari 2 Januari 2023, yang dicuri dalam pelanggaran tersebut. Perusahaan mengatakan pada hari Jumat bahwa kumpulan data tersebut “tidak berisi konten panggilan atau teks” dan tidak menyertakan tanggal dan waktu komunikasi. Tetapi penyerang berhasil membawa kabur nomor telepon dan sejumlah besar yang disebut “metadata” tentang panggilan dan teks, termasuk siapa yang menghubungi siapa, durasi panggilan, dan penghitungan total panggilan dan teks pelanggan. Kumpulan itu juga mencakup beberapa nomor identifikasi situs seluler—pada dasarnya data menara seluler yang dapat digunakan untuk memperkirakan lokasi ponsel saat melakukan atau menerima panggilan atau teks.
Data tersebut mencakup beberapa catatan orang-orang yang merupakan pelanggan operator telepon—dikenal sebagai “operator jaringan virtual seluler”—yang berkontrak dengan AT&T untuk menggunakan jaringan dan infrastruktur perusahaan yang lebih besar untuk layanan mereka. Dan, yang terpenting, data yang dicuri tersebut mengungkap orang-orang yang tidak memiliki hubungan dengan AT&T saat mereka berkomunikasi dengan pelanggan AT&T selama rentang waktu yang relevan.
Meskipun pelanggaran tersebut bukanlah skenario terburuk dalam segala hal—data tersebut, misalnya, tidak menyertakan informasi identitas pelanggan seperti nomor Jaminan Sosial—hal tersebut dapat menjadi tambang emas bagi penyerang yang ingin membuat serangan phishing yang menarik dan penipuan lainnya untuk menargetkan individu atau komunitas orang tertentu. Dan pelanggaran tersebut menggarisbawahi bahwa bahkan tanpa isi komunikasi, metadata yang bocor masih memiliki implikasi besar bagi privasi dan keamanan orang. Inilah sebabnya mengapa para pendukung privasi telah lama membuat perbedaan antara platform komunikasi—yaitu, aplikasi pesan aman Signal—yang dirancang untuk menghasilkan metadata yang sangat minimum, dibandingkan dengan platform komunikasi lain yang tidak membatasi penggunaan metadata pada tingkat yang sama. Ini bahkan mencakup layanan terenkripsi ujung ke ujung lainnya seperti WhatsApp.
Perusahaan keamanan siber milik Google Mandiant menyelidiki serangkaian intrusi akun Snowflake dan dikatakan pada bulan Juni bahwa peretas kriminal yang bermotivasi finansial, yang dilacak dengan nama UNC5537, berada di balik serangan tersebut. Kelompok tersebut menggunakan malware pencuri info untuk mengambil kredensial akun Snowflake perusahaan dan kemudian dengan mudah masuk ke akun mana pun yang tidak mengaktifkan autentikasi dua faktor. Fitur keamanan dinonaktifkan secara default pada akun Snowflake. Sejak saat itu, Snowflake menerapkan kebijakan autentikasi multifaktor baru di tempat.
AT&T menekankan bahwa pihaknya “tidak percaya” data yang dicuri dalam pelanggaran tersebut tersedia untuk umum. Namun, hal itu tidak berarti bahwa hal itu tidak menimbulkan ancaman dari pelaku yang mencurinya. Pada hari Jumat, Badan Keamanan Siber dan Keamanan Infrastruktur AS merilis sebuah peringatan tentang situasi tersebut. Dan, meskipun hanya segelintir korban amukan Snowflake yang muncul, para peretas telah mengiklankan, mencoba menjual, dan menuntut tebusan dari perusahaan-perusahaan yang terkena dampak atas data yang dicuri dari akun Snowflake mereka. Para pelaku termasuk Pemburu Berkilau dan akun lain yang menggunakan nama pengguna Sp1d3rHunters telah mengiklankan data di pasar kejahatan dunia maya BreachForums, yang baru-baru ini dibangkitkan setelah dihapus oleh penegak hukum, dan menuntut perusahaan membayar jutaan agar datanya dihapus.
Pelaporan tambahan oleh Matt Burgess.
