Skip to content
Bourrage d’identifiantsRançon payée

Violation des relevés d'appels AT&T via Snowflake

AT&T a révélé que des attaquants avaient utilisé des identifiants volés par des infostealers pour s'authentifier auprès de son locataire d'entrepôt de données cloud Snowflake — dépourvu de MFA — et exfiltrer les métadonnées d'appels et de SMS couvrant la quasi-totalité de ses 110 millions de clients mobiles.

Partie de la campagnesnowflake cohort 2024
Victime
AT&T Communications
Perte
$200.0M
données
110.0M
utilisateurs
110.0M

Le 12 juillet 2024, AT&T a divulgué publiquement que des attaquants avaient exfiltré les relevés détaillés d'appels couvrant la quasi-totalité de ses 110 millions de clients mobiles depuis son locataire d'entrepôt de données cloud Snowflake. L'exfiltration faisait partie d'une campagne plus vaste — désignée UNC5537 par Mandiant — qui a compromis environ 165 locataires clients de Snowflake à l'aide d'identifiants collectés par des logiciels infostealers des mois auparavant.

Cette campagne est le cas emblématique du credential stuffing à grande échelle sur des locataires cloud, et un moteur majeur du basculement de l'industrie, après 2024, vers la MFA obligatoire sur les entrepôts de données cloud.

La cohorte Snowflake

La campagne plus large — qui s'est déroulée approximativement d'avril à juillet 2024 — visait les locataires Snowflake dont les clients présentaient :

  • Des identifiants Snowflake collectés par des logiciels infostealers des mois ou des années auparavant, vendus sur des marchés d'identifiants.
  • Aucune authentification multifacteur exigée sur le locataire Snowflake.
  • Des volumes importants de données structurées dignes d'être exfiltrées.

Parmi les victimes confirmées de la cohorte Snowflake figurent :

  • AT&T (cet incident ; métadonnées d'appels et de SMS)
  • Ticketmaster (Live Nation) — environ 560 M de dossiers clients
  • Santander Bank — dossiers du personnel et des clients dans plusieurs régions
  • Advance Auto Parts — environ 2,3 M de dossiers d'employés
  • Pure Storage, Neiman Marcus, LendingTree, et environ 160 organisations supplémentaires

La plateforme Snowflake elle-même n'a pas été compromise. La vulnérabilité résidait dans la politique d'authentification propre à chaque client : chaque client Snowflake était responsable de l'activation de la MFA, et beaucoup ne l'avaient pas fait. La réponse de Snowflake à la campagne — en partie sous la pression réglementaire — a été de commencer à exiger la MFA par défaut pour les nouveaux comptes et de fournir des outils permettant aux clients existants de l'imposer.

Périmètre spécifique à AT&T

Les données exfiltrées d'AT&T couvraient :

  • Les métadonnées d'appels et de SMS (quels numéros ont appelé/envoyé des SMS à quels numéros, quand et pendant combien de temps) pour l'ensemble des clients mobiles d'AT&T entre le 1er mai 2022 et le 31 octobre 2022, plus une seule journée supplémentaire le 2 janvier 2023.
  • Environ 110 millions de clients affectés — pratiquement chaque abonné mobile d'AT&T durant la période concernée.
  • Aucun contenu des appels ou des messages n'a été exposé.
  • Des données de localisation cellulaire pour de nombreux relevés incluaient la localisation approximative au moment de chaque appel.

La combinaison de métadonnées, de localisation et de graphe de connexion est significative pour l'analyse de réseaux sociaux : bien qu'aucun contenu de relevé individuel n'ait été exposé, le jeu de données agrégé permet une cartographie complète du qui-parle-à-qui à travers la base de clients américains d'AT&T sur la période de six mois.

Le paiement

Dans une divulgation inhabituelle, AT&T a confirmé publiquement avoir payé aux attaquants environ 370 000 $ en cryptomonnaie en échange de l'assurance que les données volées seraient supprimées. Le paiement a été effectué via un intermédiaire ; AT&T a présenté ce paiement comme étant destiné à l'assurance de suppression et non comme une « rançon ».

Le paiement n'a pas totalement empêché la diffusion : des échantillons partiels du jeu de données ont circulé sur des forums criminels dans les semaines suivant la divulgation d'AT&T, démontrant une fois de plus que le paiement n'offre aucune garantie exécutoire de destruction des données.

Attribution et inculpations

En octobre 2024, les autorités américaines et canadiennes ont arrêté Connor Moucka — un ressortissant canadien de 26 ans à Kitchener, en Ontario — sur la base d'un mandat d'extradition américain pour la campagne d'extorsion de la cohorte Snowflake. En novembre 2024, le DOJ a rendu public un acte d'accusation contre Moucka et un complice : John Binns, l'Américain de 24 ans qui avait précédemment revendiqué la responsabilité de la violation de T-Mobile en 2021 et se trouvait déjà en Turquie.

L'acte d'accusation a inculpé Moucka et Binns d'extorsion, de fraude informatique et de fraude électronique contre 10 organisations victimes nommées (AT&T étant identifiée de manière anonyme comme l'une des plus importantes victimes).

Moucka est resté en détention au Canada en attendant son extradition à la fin de l'année 2024. Binns est resté en Turquie, hors de portée.

Impact

  • Les métadonnées d'appels et de SMS d'environ 110 millions de clients exposées.
  • Coût direct pour AT&T : environ 200 M$ incluant la remédiation, la notification des clients et le paiement d'extorsion de 370 000 $.
  • La FCC poursuit son enquête ; AT&T est déjà sous le coup du décret de consentement de 2024 issu des violations de l'ère T-Mobile en 2021 et de ses propres incidents ultérieurs.
  • Impact sectoriel Snowflake : Snowflake a annoncé la MFA obligatoire par défaut pour les nouveaux comptes ; les grands clients des secteurs réglementés ont accéléré la migration vers la MFA sur les locataires existants.

Pourquoi c'est important

AT&T / Snowflake est le cas emblématique du credential stuffing sur locataires cloud en 2024 et la démonstration la plus marquante que la sécurité du fournisseur cloud à elle seule est insuffisante lorsque les contrôles côté client sont absents. Il a établi :

  • Que les identifiants collectés par infostealers constituent un vecteur majeur de compromission de locataires cloud. Les identifiants utilisés par les attaquants d'AT&T avaient été collectés par des logiciels infostealers ordinaires des mois auparavant et vendus sur des marchés criminels classiques — aucune opération étatique ciblée n'a été nécessaire.
  • Que les modèles de sécurité cloud à responsabilité partagée peuvent échouer au niveau des contrôles côté client d'une manière que le fournisseur ne peut empêcher. La plateforme de Snowflake était sécurisée ; les configurations MFA d'environ 165 de ses clients ne l'étaient pas.
  • Que les métadonnées d'appels constituent un jeu de données de niveau renseignement stratégique à l'échelle des télécoms. L'exposition d'AT&T est fonctionnellement un instantané de six mois du réseau social d'une fraction substantielle des utilisateurs mobiles américains.
  • Que la diffusion après paiement est un schéma persistant. Le paiement d'AT&T n'a pas empêché la circulation d'échantillons ; la divulgation a une fois de plus mis en évidence l'absence de suppression exécutoire dans les scénarios de paiement d'extorsion.

Impact financier

Coûts déclarés en USD

Perte totale déclarée
200.0M
USD · 200 000 000 $US
Rançon demandée
$1.0M
Rançon payée
$370.0K
  • Rançon payée$370.0K
  • Perte d’exploitation$100.0M
  • Remédiation$100.0M

Chronologie

  1. Les opérateurs s'authentifient auprès du locataire Snowflake d'AT&T en utilisant des identifiants collectés par un logiciel infostealer sur le poste de travail d'un développeur ou d'un sous-traitant. Le locataire Snowflake d'AT&T n'exige pas de MFA.

  2. Les opérateurs exfiltrent les relevés détaillés d'appels de la quasi-totalité des clients mobiles d'AT&T couvrant la période du 1er mai 2022 au 31 octobre 2022, plus une seule journée de relevés du 2 janvier 2023. Les métadonnées d'environ 110 millions de clients sont capturées.

  3. AT&T détecte un trafic sortant inhabituel depuis l'environnement Snowflake et engage une réponse à incident.

  4. Snowflake divulgue publiquement qu'« un nombre limité de clients Snowflake » ont été compromis via des identifiants volés. La cohorte se révélera plus tard être composée d'environ 165 organisations, dont AT&T, Ticketmaster, Santander, Advance Auto Parts.

  5. AT&T divulgue publiquement sa violation. AT&T confirme également avoir payé aux attaquants environ 370 000 $ en cryptomonnaie en échange de l'assurance de la suppression des données — un paiement qui n'a pas empêché des diffusions publiques partielles ultérieures d'échantillons.

  6. Les forces de l'ordre américaines et canadiennes arrêtent Connor Moucka (ressortissant canadien) à Kitchener, en Ontario, sur la base d'un mandat américain pour la campagne d'extorsion liée à Snowflake.

  7. Le DOJ américain rend public un acte d'accusation contre Moucka et un complice, John Binns (déjà en Turquie, précédemment impliqué dans la violation de T-Mobile en 2021).

Sources

  1. about.att.comhttps://about.att.com/story/2024/addressing-illegal-download.html
  2. services.google.comhttps://services.google.com/fh/files/misc/uncovering-unc5537.pdf
  3. justice.govhttps://www.justice.gov/usao-wdwa/pr/canadian-charged-fraud-and-extortion-scheme-targeting-three-billion-records-many-major

Incidents liés

Bourrage d’identifiantsEn cours

FortiBleed : un jeu de données fuite les identifiants VPN de ~74 000 pare-feu Fortinet

Un jeu de données baptisé FortiBleed a exposé des identifiants VPN Fortinet FortiGate valides — mots de passe en clair compris — pour 73 932 URL de pare-feu réparties dans 194 pays, fruit d'un groupe russophone qui a réutilisé des mots de passe issus de fuites antérieures et de journaux d'infostealers plutôt qu'une nouvelle vulnérabilité Fortinet.

Victim
Organizations running Fortinet FortiGate firewalls worldwide
Bourrage d’identifiantsContenu

Campagne de credential-stuffing contre les comptes clients Snowflake (UNC5537, 2024)

Un cluster malveillant suivi sous le nom d'UNC5537 / ShinyHunters a utilisé des identifiants collectés par des logiciels infostealers pour se connecter à environ 160 tenants clients Snowflake dépourvus de MFA. Parmi les victimes : AT&T, Ticketmaster, Santander, LendingTree, Advance Auto Parts, Neiman Marcus et Bausch Health. Ticketmaster à elle seule a exposé les données d'environ 560 millions d'utilisateurs.

Victim
Tenants clients de Snowflake (~160 organisations : AT&T, Ticketmaster, Santander, LendingTree, Advance Auto Parts, Neiman Marcus, Bausch Health, etc.)
Records
560.0M
EspionnageContenu

Campagne d'espionnage Salt Typhoon contre les télécoms américains (2024)

Salt Typhoon, lié à la Chine, a infiltré au moins neuf opérateurs télécoms américains — Verizon, AT&T, T-Mobile, Spectrum, Lumen, Consolidated, Windstream — y compris les systèmes CALEA d'interception légale utilisés pour les écoutes autorisées par la justice. Les métadonnées de plus d'un million d'utilisateurs ont été exposées ; le Trésor américain a sanctionné un sous-traitant chinois lié.

Victim
Opérateurs de télécommunications américains (Verizon, AT&T, T-Mobile, Spectrum, Lumen, Consolidated Communications, Windstream)
Bourrage d’identifiantsRésolu

Compromission du système de gestion des dossiers de support d'Okta

Un acteur malveillant a utilisé l'identifiant volé d'un compte de service — exposé via le compte Google personnel d'un employé — pour accéder au système de gestion des dossiers de support client d'Okta, lisant des fichiers HAR contenant des jetons de session et permettant le détournement de session contre des clients dont 1Password, BeyondTrust et Cloudflare.

Victim
Okta