Un presunto responsabile di una serie di attacchi informatici alle aziende sarebbe in custodia in Canada. Come riportato da "Bloomberg" lunedì, il 26enne Alexander "Connor" Moucka è stato arrestato dalle autorità il 30 ottobre su richiesta degli Stati Uniti sulla base di un mandato di arresto provvisorio. Le violazioni hanno preso di mira i clienti aziendali di Snowflake, un partner di dati cloud di AT&T, Live Nation e altri.
Gli hacker hanno preso di mira più di 100 organizzazioni e hanno portato al furto di milioni di dati personali degli utenti. Oltre ad AT&T e Ticketmaster, sono stati colpiti anche Lending Tree, Advance Auto Parts e Neiman Marcus. AT&T ha rifiutato di commentare la notizia. Abbiamo contattato anche Live Nation, ma non abbiamo ricevuto risposta. (Aggiorneremo questo rapporto se avremo notizie).
Krebs on Security ha riferito martedì che Moucka è citato in diversi atti d'accusa sigillati dai procuratori statunitensi e dalle autorità federali. Il sospetto avrebbe rubato le credenziali da forum di criminali informatici (e luoghi simili) e scommesso che i clienti avrebbero riutilizzato le stesse credenziali altrove. Avrebbe poi usato queste credenziali per accedere agli account dei clienti Snowflake e li avrebbe ricattati minacciando di vendere i dati sui forum criminali se non avessero pagato. AT&T avrebbe pagato all'hacker un riscatto di 370.000 dollari per la cancellazione dei dati.
Secondo Krebs, i nomi online utilizzati da Moucka corrispondono a quelli di un "criminale informatico prolifico" che si trova all'incrocio tra "criminali informatici occidentali di lingua inglese e gruppi estremisti che molestano ed estorcono minori per danneggiare se stessi o altri". Secondo il rapporto, Moucka era un membro di un gruppo di hacker chiamato "UNC5537", che comprendeva un americano "sfuggente" di nome John Erin Binns, che attualmente si trova in Turchia. Binns era dietro un attacco hacker a T-Mobile nel 2021 che ha colpito almeno 76,6 milioni di clienti.
Snowflake ha accusato i suoi clienti aziendali di non disporre dell'autenticazione a più fattori. "Stiamo affrontando una grande sfida nella comunità della sicurezza e nelle aziende, perché molte persone non hanno le basi", ha dichiarato a Bloomberg Brad Jones, chief information security officer di Snowflake. Ma l'apparente incapacità di Snowflake di imporre la sicurezza a due fattori è pari alla decisione dei suoi clienti di non farlo, soprattutto con milioni di dati dei clienti in gioco.
Perché AT&T e altre aziende hanno affidato a Snowflake così tanti dati dei clienti? L'operatore di telefonia mobile non ha commentato la questione. Snowflake offre analisi dei dati basate su cloud. A luglio, AT&T ha annunciato che "quasi tutti" i suoi clienti sono stati colpiti dall'hacking, suggerendo che quasi tutti gli abbonati avevano i loro dati analizzati da un partner cloud del loro provider di telefonia mobile. Si dice che siano stati colpiti 110 milioni di clienti AT&T.
Fortunatamente, AT&T ha dichiarato che l'attacco non ha incluso alcun contenuto di chiamate o messaggi di testo. Tuttavia, sono stati colpiti i numeri di telefono con cui ogni account ha interagito, nonché un elenco delle chiamate, dei messaggi di testo e della durata delle chiamate di ciascun cliente. Sono stati colpiti anche gli identificatori dei siti cellulari. L'esperto di sicurezza informatica Javvad Malik ha dichiarato a Engadget in estate che questi ultimi "potrebbero consentire la triangolazione della posizione degli utenti".
