Der Mobilfunkanbieter AT&T hat am Freitag offengelegt, dass ein Hacker Anruf- und Textnachrichtendaten seiner Kunden heruntergeladen hat. Dies wirft Fragen darüber auf, wie sich dies auf die Millionen von Kunden des Unternehmens auswirken könnte.

In einer Mitteilung an die US-Börsenaufsicht SEC erklärte AT&T, dass das Unternehmen im April von jemandem erfuhr, der behauptete, auf Kundendaten zugegriffen zu haben. Die gestohlenen Daten stammten größtenteils aus dem Jahr 2022 und betrafen fast alle drahtlosen Kunden von AT&T. Das Unternehmen hat nahezu 90 Millionen Mobilfunkabonnenten.

Obwohl die gehackten Datensätze keine Namen enthielten, hatten sie Telefonnummern, die über öffentliche Datenbanken den Besitzern zugeordnet werden könnten. Einige Kunden befürchten, dass diese Informationen dazu verwendet werden könnten, Geschäftsabschlüsse, geheime Treffen oder romantische Affären aufzudecken.

Was AT&T-Kunden über den Hack wissen sollten:

Der Hacker stahl AT&T-Daten, die über eine Cloud-Plattform eines externen Unternehmens zugänglich waren. Die Daten umfassten weder Inhalte von Anrufen oder Textnachrichten noch persönliche Informationen wie Geburtsdaten und Sozialversicherungsnummern.

Die gestohlenen Daten zeigten die Telefonnummern, die ein Kunde zwischen etwa Mai und Oktober 2022 sowie am 2. Januar 2023 kontaktiert hatte, so AT&T. Die Datensätze enthielten auch Informationen darüber, wie oft diese Nummern kontaktiert wurden und die Gesamtdauer der Anrufe über die Zeit. Ein Teil der Daten enthielt Details über Mobilfunkstandorte, die zur Bestimmung der Standorte der Nutzer verwendet werden könnten.

AT&T erklärte, dass es nicht glaubt, dass die Daten an die Öffentlichkeit gelangt sind.

Die Behörden verknüpften den AT&T-Einbruch mit John Binns, einem amerikanischen Hacker, der die Verantwortung für einen massiven Datenraub bei T-Mobile im Jahr 2021 übernommen hatte, so eine mit der Angelegenheit vertraute Person. Binns zog vor einigen Jahren in die Türkei. Weder er noch sein Anwalt waren sofort für eine Stellungnahme erreichbar.

Die Verbindung des AT&T-Angriffs zu Binns wurde zuvor von 404 Media berichtet.

AT&T erklärte, dass mindestens eine Person im Zusammenhang mit dem Hack festgenommen wurde und dass es mit den Strafverfolgungsbehörden zusammenarbeitet, um die Beteiligten zu verhaften.

AT&T erfuhr am 19. April dieses Jahres, dass jemand behauptete, auf Kundendaten zugegriffen zu haben. Das Unternehmen untersuchte die Behauptung und glaubt, dass die gestohlenen Daten zwischen dem 14. und 25. April abgerufen wurden.

Ein Sprecher des Justizministeriums erklärte, das Unternehmen habe den Vorfall kurz nach Bekanntwerden gemeldet. Die Behörden hätten die Offenlegung des Hacks zurückgehalten, um ihre Ermittlungen zu unterstützen, so das FBI.

AT&T sagte, der Hack betraf fast alle seine drahtlosen Kunden. Ein Kunde war wahrscheinlich betroffen, wenn er zwischen Mai und Oktober 2022 Abonnent war, den Zeitraum der gestohlenen Datensätze. Die Datensätze umfassen auch Informationen über Festnetzkunden.

Die Datenbank hätte auch einige Kunden von Mobilfunkmarken enthalten, die das AT&T-Netzwerk nutzen, darunter Cricket Wireless, Consumer Cellular und Tracfone.

Der Mobilfunkanbieter erklärte, dass er betroffene Kunden per Text, E-Mail oder Post benachrichtigen werde.

Betroffene AT&T-Abonnenten, einschließlich ehemaliger Kunden, können bis Dezember verlangen, dass das Unternehmen ihnen die illegal heruntergeladenen Telefonnummern aus ihren Datensätzen zusendet. Weitere Informationen sind auf der AT&T-Website verfügbar.

AT&T speicherte die Daten bei dem Datenbank-Dienst Snowflake. Kunden, die ihre Daten ihrem Mobilfunkanbieter anvertrauen, müssen auch der Sicherheit jedes von ihm genutzten Cloud-Unternehmens vertrauen. Die Schichten von Drittanbietersoftware, die Unternehmen verwenden, können Datenverletzungen wahrscheinlicher machen.

Eine Sprecherin von Snowflake verwies auf eine frühere Erklärung des Sicherheitschefs des Unternehmens, der sagte, das Unternehmen habe keine Beweise dafür gefunden, dass ein kürzliches Ansteigen der Bedrohungen für Kundenkonten durch eine Schwachstelle, Fehlkonfiguration oder Verletzung der Snowflake-Plattform verursacht wurde. Das Unternehmen erklärte, es verbessere die Fähigkeit seiner Kunden, Schutzmaßnahmen wie Multi-Faktor-Authentifizierung standardmäßig zu ihren Konten hinzuzufügen.

Andere große Snowflake-Kunden, darunter die Santander-Bank und Ticketmaster, haben in den letzten Wochen ebenfalls Datenverletzungen gemeldet.