Der US-Telekommunikationskonzern AT&T hat ein massives Datenleck eingeräumt, bei dem Hacker Zugriff auf Millionen von Kundendaten erhielten. Das Unternehmen zahlte zudem einem Mitglied der Hackergruppe über 350.000 Dollar für die Löschung der gestohlenen Informationen.
Das Datenleck betraf Verbindungsdaten von Anrufen und Textnachrichten von AT&T-Kunden im Zeitraum von Mai bis Oktober 2022 sowie am 2. Januar 2023. Auch Daten von Kunden anderer Anbieter, die mit AT&T-Nutzern kommunizierten, waren betroffen, ebenso wie Festnetznummern, die mit AT&T-Kunden in Kontakt standen. Bei einigen Datensätzen waren zudem Informationen zu Mobilfunkmasten enthalten, die Rückschlüsse auf den Standort der Nutzer zulassen könnten.
AT&T erfuhr Mitte April 2023 von dem Datenleck. Im Mai zahlte das Unternehmen dann etwa 370.000 Dollar in Bitcoin an einen Hacker für die Löschung der Daten. Als Beweis für die Löschung stellte der Hacker ein Video zur Verfügung. Erst am 12. Juli 2024 machte AT&T das Datenleck öffentlich.
Die Hacker gehören vermutlich zur Gruppe “ShinyHunters”, die für ähnliche Angriffe bekannt ist. Sie nutzten schlecht gesicherte Cloud-Speicher-Konten des Anbieters Snowflake, um an die Daten zu gelangen. Über 150 Unternehmen sollen von ähnlichen Angriffen betroffen sein. Als mutmaßlicher Haupttäter gilt John Erin Binns, der im Mai in der Türkei verhaftet wurde.
Sicherheitsexperten warnen, dass trotz der Löschung der Hauptdatenbank Kopien oder Teile der Daten im Umlauf sein könnten. AT&T-Kunden und ihre Kontakte sollten daher weiterhin wachsam sein.
Die Verzögerung der Bekanntmachung begründete AT&T mit Sicherheitsbedenken und einer Ausnahmegenehmigung des US-Justizministeriums. Kritiker sehen darin jedoch auch den Versuch, negative Publicity zu vermeiden.