AT&T顧客「ほぼ全員」の通話記録が盗まれたデータ流出事件

(techcrunch.com)

1 ポイント投稿者 GN⁺ 2024-07-13 | 1件のコメント | WhatsAppで共有

AT&T顧客データ流出事件

AT&Tのデータ流出事件
- AT&Tは、サイバー犯罪者によってほぼすべての顧客の通話記録が盗まれたことを確認
- 盗まれたデータには、数百万のAT&T顧客の電話番号、通話・SMS記録、位置関連データが含まれる
盗まれたデータの内容
- 固定回線およびモバイル顧客の電話番号、通話・SMS記録を含む
- 通話内容およびSMS本文は含まれない
- 通話・SMS記録のメタデータ（通話・SMS回数、通話時間など）が含まれる
- 一部のデータには2023年1月2日以降の記録も含まれる
流出データの影響
- 約1億1,000万人のAT&T顧客に通知予定
- 他通信事業者の顧客の通話記録も含まれる
- 一部のデータには、位置追跡に利用され得るセルサイト識別番号が含まれる
流出事件の原因
- AT&Tは4月19日にデータ流出を認識
- データはクラウドデータ企業Snowflakeから盗まれた
- Snowflakeで多要素認証が使われていなかったことによりデータ流出が発生
- Mandiantは、約165社のSnowflake顧客データが盗まれたと報告
法的対応
- AT&Tは法執行機関と協力し、サイバー犯罪者の逮捕を進めている
- FBIとDOJは、国家安全保障および公共の安全へのリスクを理由に2度通知を延期
過去の事件
- AT&Tは今年初めにも顧客アカウント情報の流出事件を経験

GN⁺のまとめ

AT&Tのデータ流出事件は約1億1,000万人の顧客に影響を与える
データ流出の主因は、Snowflakeで多要素認証が使われていなかったことによるセキュリティ上の脆弱性
今回の事件は、顧客の個人情報保護に関する深刻な問題を提起している
類似の機能を提供する他のクラウドデータサービスには、AWS、Google Cloudなどがある

1件のコメント

GN⁺ 2024-07-13

Hacker Newsの意見

AT&Tの1億1,000万人の顧客がアカウント管理に追加で1分ずつ費やすだけでも、209年以上の時間が無駄になる
- データ漏えいに関する法律はもっと強化されるべき
- 企業が最低限のセキュリティ対策しか取らない理由は、漏えいに対する実質的な罰則がほとんどないから
- 企業の責任を問い、過失によって漏えいを引き起こした人々を刑事処罰すべき
- 巨額の罰金を科し、企業の経営陣と株主が実際の結果を被るようにすべき
Snowflakeのデータ漏えい事件は、AT&Tの運用面ではなく、マーケティングパートナーに販売されたデータが流出したもの
- Snowflakeの使命は、データサイロを取り払い、複雑さを克服し、安全なデータコラボレーションを可能にすること
- 欧州ではこのようなデータ保存は違法であり、欧州人権条約にも適合しない
- サービス提供者はこのようなデータを保存する必要がなく、法律でこれを禁止するのは容易
10年前にAT&Tアカウントを解約したが、それでも住所、氏名、SSNが保存されていた
- 無能な組織を罰する法律がないのはばかげている
AT&T株は当初の-2.6%下落から回復し、Snowflakeは-3.9%下落
- 市場はAT&Tが無傷で済むと考えている
TechCrunchの記事によると、セルサイト識別子が含まれており、おおよその位置情報も漏えいした
消費者はデータ漏えいに慣れすぎており、怒りはほとんどない
- 消費者の怒りがなければ、企業がデータ漏えいを防ぐためにより多くの努力をする動機はない
今年初めにSSNがダークウェブに流出した
- 1年間のモニタリングでは不十分で、生涯にわたるモニタリングが必要
- セキュリティに対する実質的な動機がない
- 無期限のモニタリング費用を負担させるべき
AT&Tのような企業は身元盗用の影響を受けない
- 企業のEINは公開されているが、それを使って身元盗用やクレジットカード詐欺を行うことはできない
データは時間が経てば削除されるべき
- 顧客が昨年誰から電話を受けたかを確認する必要はほとんどない
- 犯罪捜査やスパイ活動のような場合を除き、顧客にはデータの保存期間や使用方法を決める権利がない
- 企業は顧客が自分のデータを管理できるツールや機能を提供すべき

AT&T顧客「ほぼ全員」の通話記録が盗まれたデータ流出事件

AT&T顧客データ流出事件

GN⁺のまとめ

関連記事

1件のコメント

Hacker Newsの意見