Hackers roubaram seis meses de registros de chamadas e mensagens de texto de quase todos os clientes da rede celular da AT&T, informou a empresa na sexta-feira, uma violação que tem o potencial de revelar informações confidenciais sobre milhões de americanos.
A empresa disse em um Arquivamento SEC que soube por meio de uma investigação interna que, em abril, hackers “acessaram e copiaram ilegalmente registros de chamadas da AT&T” que estavam salvos em uma plataforma de nuvem de terceiros.
Os dados contêm registros de chamadas e mensagens de texto entre aproximadamente 1º de maio e 31 de outubro de 2022, e em 2 de janeiro de 2023.
O conteúdo das chamadas e mensagens não foi comprometido e as informações pessoais dos clientes não foram acessadas — mas os registros incluíam números de telefone. Essas informações são frequentemente chamadas de metadados, que são informações sobre comunicações, e consideradas altamente sensíveis, especialmente quando coletadas e analisadas em larga escala para revelar padrões e conexões entre pessoas.
A rede sem fio da AT&T tem 127 milhões de dispositivos conectados, de acordo com o relatório anual de 2023 da empresa.
“Embora os dados não incluam nomes de clientes, muitas vezes há maneiras, usando ferramentas on-line disponíveis publicamente, de encontrar o nome associado a um número de telefone específico”, disse a empresa em seu registro na SEC.
O Departamento de Justiça e o FBI disseram que estão trabalhando com a AT&T para investigar o hack. A FCC também disse que havia iniciado uma investigação sobre a violação.
John Scott-Railton, pesquisador sênior do Citizen Lab da Universidade de Toronto, que se concentra em tecnologia de comunicação e segurança, chamou o hack de “megabreach”, enfatizando que metadados roubados nessa escala têm o potencial de ser uma grande ameaça à segurança nacional, bem como um problema para empresas e indivíduos.
“Estas são informações pessoais incrivelmente sensíveis e, quando reunidas na escala de informações que parecem estar incluídas nesta violação da AT&T, elas apresentam uma janela enorme, semelhante à da NSA, para a atividade dos americanos”, disse ele, acenando para o vazamentos de Edward Snowden que expôs a grande coleta de metadados da Agência de Segurança Nacional.
Thomas Rid, professor de estudos estratégicos e diretor do Instituto Alperovitch de Estudos de Segurança Cibernética da Universidade Johns Hopkins, disse que os metadados podem revelar detalhes íntimos sobre as pessoas, embora tenha alertado que é preciso aprender mais sobre o que os hackers roubaram da AT&T antes que uma imagem completa da ameaça fique clara.
“Se você tem os metadados de alguém, você sabe quando essa pessoa vai trabalhar, onde ela vai trabalhar, onde ela dorme todas as noites”, disse ele.
A AT&T disse que “tomou medidas adicionais de segurança cibernética em resposta a este incidente, incluindo o fechamento do ponto de acesso ilegal”. Os clientes afetados pelo hack serão contatados, disse a empresa.
A empresa disse que o Departamento de Justiça dos EUA decidiu que ela deveria anunciar publicamente os detalhes do hack — em 8 de maio e 5 de junho — mas somente após um atraso não especificado.
A AT&T acrescentou que está auxiliando as autoridades policiais nos esforços para prender os hackers.
“Com base nas informações disponíveis, a AT&T entende que pelo menos uma pessoa foi presa”, disse a empresa, sem fornecer mais detalhes.
A empresa tentou garantir aos clientes que, pelo menos até sexta-feira, “a AT&T não acredita que os dados estejam disponíveis publicamente”.
O documento também afirma que o hack não afetaria suas operações nem afetaria negativamente seus resultados financeiros.
Os metadados por si só não incluem o nome real de uma pessoa, embora essas informações possam ser facilmente encontradas online.
Mas o hack anunciado na sexta-feira pode representar uma ameaça ainda maior aos usuários da AT&T devido a um problema de segurança anterior. Alguns nomes de clientes da AT&T foram divulgados anteriormente em um violação anunciada em marçode acordo com Jake Williams, vice-presidente de pesquisa e desenvolvimento da Hunter Strategy, uma consultoria de TI. Esse incidente também incluiu números de Previdência Social.
“Os dados da AT&T previamente comprometidos e divulgados ajudarão os agentes de ameaças a mapear uma grande porcentagem dos números de telefone nesses registros de clientes para as vítimas realmente afetadas”, disse Williams em um e-mail para a NBC News.
O senador Ron Wyden, democrata do Oregon, disse em uma declaração que a violação era indicativa do ambiente legal frouxo no qual as empresas de telecomunicações operam.
“Esta não é a primeira violação de dados revelada por uma grande empresa de telefonia e não será a última”, disse ele. “Esses hacks, que são quase sempre o resultado de uma segurança cibernética inadequada, não terminarão até que a FCC comece a responsabilizar as operadoras por sua negligência. Essas empresas continuarão a prejudicar a segurança do cliente até que isso as atinja na carteira com multas bilionárias.”
— Esta é uma história em desenvolvimento. Por favor, volte para atualizações.
— Rob Wile e Brian Cheung contribuído.