Violation des relevés d'appels AT&T via Snowflake
AT&T a révélé que des attaquants avaient utilisé des identifiants volés par des infostealers pour s'authentifier auprès de son locataire d'entrepôt de données cloud Snowflake — dépourvu de MFA — et exfiltrer les métadonnées d'appels et de SMS couvrant la quasi-totalité de ses 110 millions de clients mobiles.
- Victime
- AT&T Communications
- Perte
- $200.0M
- données
- 110.0M
- utilisateurs
- 110.0M
Le 12 juillet 2024, AT&T a divulgué publiquement que des attaquants avaient exfiltré les relevés détaillés d'appels couvrant la quasi-totalité de ses 110 millions de clients mobiles depuis son locataire d'entrepôt de données cloud Snowflake. L'exfiltration faisait partie d'une campagne plus vaste — désignée UNC5537 par Mandiant — qui a compromis environ 165 locataires clients de Snowflake à l'aide d'identifiants collectés par des logiciels infostealers des mois auparavant.
Cette campagne est le cas emblématique du credential stuffing à grande échelle sur des locataires cloud, et un moteur majeur du basculement de l'industrie, après 2024, vers la MFA obligatoire sur les entrepôts de données cloud.
La cohorte Snowflake
La campagne plus large — qui s'est déroulée approximativement d'avril à juillet 2024 — visait les locataires Snowflake dont les clients présentaient :
- Des identifiants Snowflake collectés par des logiciels infostealers des mois ou des années auparavant, vendus sur des marchés d'identifiants.
- Aucune authentification multifacteur exigée sur le locataire Snowflake.
- Des volumes importants de données structurées dignes d'être exfiltrées.
Parmi les victimes confirmées de la cohorte Snowflake figurent :
- AT&T (cet incident ; métadonnées d'appels et de SMS)
- Ticketmaster (Live Nation) — environ 560 M de dossiers clients
- Santander Bank — dossiers du personnel et des clients dans plusieurs régions
- Advance Auto Parts — environ 2,3 M de dossiers d'employés
- Pure Storage, Neiman Marcus, LendingTree, et environ 160 organisations supplémentaires
La plateforme Snowflake elle-même n'a pas été compromise. La vulnérabilité résidait dans la politique d'authentification propre à chaque client : chaque client Snowflake était responsable de l'activation de la MFA, et beaucoup ne l'avaient pas fait. La réponse de Snowflake à la campagne — en partie sous la pression réglementaire — a été de commencer à exiger la MFA par défaut pour les nouveaux comptes et de fournir des outils permettant aux clients existants de l'imposer.
Périmètre spécifique à AT&T
Les données exfiltrées d'AT&T couvraient :
- Les métadonnées d'appels et de SMS (quels numéros ont appelé/envoyé des SMS à quels numéros, quand et pendant combien de temps) pour l'ensemble des clients mobiles d'AT&T entre le 1er mai 2022 et le 31 octobre 2022, plus une seule journée supplémentaire le 2 janvier 2023.
- Environ 110 millions de clients affectés — pratiquement chaque abonné mobile d'AT&T durant la période concernée.
- Aucun contenu des appels ou des messages n'a été exposé.
- Des données de localisation cellulaire pour de nombreux relevés incluaient la localisation approximative au moment de chaque appel.
La combinaison de métadonnées, de localisation et de graphe de connexion est significative pour l'analyse de réseaux sociaux : bien qu'aucun contenu de relevé individuel n'ait été exposé, le jeu de données agrégé permet une cartographie complète du qui-parle-à-qui à travers la base de clients américains d'AT&T sur la période de six mois.
Le paiement
Dans une divulgation inhabituelle, AT&T a confirmé publiquement avoir payé aux attaquants environ 370 000 $ en cryptomonnaie en échange de l'assurance que les données volées seraient supprimées. Le paiement a été effectué via un intermédiaire ; AT&T a présenté ce paiement comme étant destiné à l'assurance de suppression et non comme une « rançon ».
Le paiement n'a pas totalement empêché la diffusion : des échantillons partiels du jeu de données ont circulé sur des forums criminels dans les semaines suivant la divulgation d'AT&T, démontrant une fois de plus que le paiement n'offre aucune garantie exécutoire de destruction des données.
Attribution et inculpations
En octobre 2024, les autorités américaines et canadiennes ont arrêté Connor Moucka — un ressortissant canadien de 26 ans à Kitchener, en Ontario — sur la base d'un mandat d'extradition américain pour la campagne d'extorsion de la cohorte Snowflake. En novembre 2024, le DOJ a rendu public un acte d'accusation contre Moucka et un complice : John Binns, l'Américain de 24 ans qui avait précédemment revendiqué la responsabilité de la violation de T-Mobile en 2021 et se trouvait déjà en Turquie.
L'acte d'accusation a inculpé Moucka et Binns d'extorsion, de fraude informatique et de fraude électronique contre 10 organisations victimes nommées (AT&T étant identifiée de manière anonyme comme l'une des plus importantes victimes).
Moucka est resté en détention au Canada en attendant son extradition à la fin de l'année 2024. Binns est resté en Turquie, hors de portée.
Impact
- Les métadonnées d'appels et de SMS d'environ 110 millions de clients exposées.
- Coût direct pour AT&T : environ 200 M$ incluant la remédiation, la notification des clients et le paiement d'extorsion de 370 000 $.
- La FCC poursuit son enquête ; AT&T est déjà sous le coup du décret de consentement de 2024 issu des violations de l'ère T-Mobile en 2021 et de ses propres incidents ultérieurs.
- Impact sectoriel Snowflake : Snowflake a annoncé la MFA obligatoire par défaut pour les nouveaux comptes ; les grands clients des secteurs réglementés ont accéléré la migration vers la MFA sur les locataires existants.
Pourquoi c'est important
AT&T / Snowflake est le cas emblématique du credential stuffing sur locataires cloud en 2024 et la démonstration la plus marquante que la sécurité du fournisseur cloud à elle seule est insuffisante lorsque les contrôles côté client sont absents. Il a établi :
- Que les identifiants collectés par infostealers constituent un vecteur majeur de compromission de locataires cloud. Les identifiants utilisés par les attaquants d'AT&T avaient été collectés par des logiciels infostealers ordinaires des mois auparavant et vendus sur des marchés criminels classiques — aucune opération étatique ciblée n'a été nécessaire.
- Que les modèles de sécurité cloud à responsabilité partagée peuvent échouer au niveau des contrôles côté client d'une manière que le fournisseur ne peut empêcher. La plateforme de Snowflake était sécurisée ; les configurations MFA d'environ 165 de ses clients ne l'étaient pas.
- Que les métadonnées d'appels constituent un jeu de données de niveau renseignement stratégique à l'échelle des télécoms. L'exposition d'AT&T est fonctionnellement un instantané de six mois du réseau social d'une fraction substantielle des utilisateurs mobiles américains.
- Que la diffusion après paiement est un schéma persistant. Le paiement d'AT&T n'a pas empêché la circulation d'échantillons ; la divulgation a une fois de plus mis en évidence l'absence de suppression exécutoire dans les scénarios de paiement d'extorsion.
Impact financier
Coûts déclarés en USD
- Rançon payée$370.0K
- Perte d’exploitation$100.0M
- Remédiation$100.0M
Chronologie
Les opérateurs s'authentifient auprès du locataire Snowflake d'AT&T en utilisant des identifiants collectés par un logiciel infostealer sur le poste de travail d'un développeur ou d'un sous-traitant. Le locataire Snowflake d'AT&T n'exige pas de MFA.
Les opérateurs exfiltrent les relevés détaillés d'appels de la quasi-totalité des clients mobiles d'AT&T couvrant la période du 1er mai 2022 au 31 octobre 2022, plus une seule journée de relevés du 2 janvier 2023. Les métadonnées d'environ 110 millions de clients sont capturées.
AT&T détecte un trafic sortant inhabituel depuis l'environnement Snowflake et engage une réponse à incident.
Snowflake divulgue publiquement qu'« un nombre limité de clients Snowflake » ont été compromis via des identifiants volés. La cohorte se révélera plus tard être composée d'environ 165 organisations, dont AT&T, Ticketmaster, Santander, Advance Auto Parts.
AT&T divulgue publiquement sa violation. AT&T confirme également avoir payé aux attaquants environ 370 000 $ en cryptomonnaie en échange de l'assurance de la suppression des données — un paiement qui n'a pas empêché des diffusions publiques partielles ultérieures d'échantillons.
Les forces de l'ordre américaines et canadiennes arrêtent Connor Moucka (ressortissant canadien) à Kitchener, en Ontario, sur la base d'un mandat américain pour la campagne d'extorsion liée à Snowflake.
Le DOJ américain rend public un acte d'accusation contre Moucka et un complice, John Binns (déjà en Turquie, précédemment impliqué dans la violation de T-Mobile en 2021).
Sources
- about.att.comhttps://about.att.com/story/2024/addressing-illegal-download.html
- services.google.comhttps://services.google.com/fh/files/misc/uncovering-unc5537.pdf
- justice.govhttps://www.justice.gov/usao-wdwa/pr/canadian-charged-fraud-and-extortion-scheme-targeting-three-billion-records-many-major