Ända sedan uppgifterna om intrånget i den stora amerikanska teleoperatören AT&Ts system där nästan 110 miljoner kundeuppgifter stulits så har fråga om hur ställen överhuvudtaget varit möjligt. Det finns i stort sett bara två förklaringar – stora brister i säkerheten hos AT&T eller att informationen stulits en god bak i leverantörskedjan – eller en kombination av de båda.

Här är det vi vet – i korthet:

I en anmälan till U.S. Securities and Exchange Commission  skriver AT&T att obehöriga fått tillgång till en AT&T-arbetsyta på en tredjeparts molnplattform i april, och laddad ner filer som innehåller kundsamtal och textinteraktioner mellan 1 maj och 31 oktober 2022. den 2 januari 2023.

Intrånget berör i stort sett alla AT&Ts kunder, närmare 110 miljoner kundeuppgifter.

Kunduppgifter

Med normala säkerhetsspärrar så ska detta inte vara möjligt i system som exponeras ut mot kunder. Du ska naturligtvis inte kunna ladda ned alla kunduppgifter i ett enda svep även om du har, och ska ha tillgång till, kunduppgifter. Ett system ute hos en någon av AT&T:s återförsäljare, något av AT&T:s egna kontor eller butiker, exempelvis. System som används för att boka abonnemang, ändra i befintliga abonnemang och så vidare. De systemen har tillgång till kunduppgifter men du ska inte kunna ladda ned alla kunduppgifter.

Du ska inte heller kunna ”skrapa” ihop uppgifterna – enkelt beskrivet, plocka upp en kunds uppgifter, kopiera och lagra dem och sedan plocka upp nästa kunds uppgifter och så vidare.

Nu förutsätter jag att AT&T har sådana spärrar – i annat fall landar den typen av misstag snabbt inom ramen för brottsligt slarv.

Lagring

Det framgår faktiskt av AT&T:s anmälan och egna uppgifter att det handlar om lagring – i ett moln. Det i sin tur torde betyda att någon av AT&T:s anlitade leverantörer av lagring antingen har säkerhetshål i sina system eller att stölden begåtts av någon i den egna verksamheten, ett insiderbrott.

När du backat tillbaka i systemkedjan så är lagringen en akilleshäl därför att alla uppgifter, all information måste lagras någonstans. Den bör kunna flyttas, kopieras och säkerhetskopieras inom ramen för lagringen och därmed öppnar det för en stöld av alla data. Även här ska det finnas spärrar, naturligtvis, och vem som helst ska inte kunna komma åt all information och lagringen i sig kräver ett komplext och avancerat skydd så att ingen kommer åt uppgifterna utifrån.

Utifrån det som är känt just nu så är det uppenbart att det funnits brister i säkerheten av hur informationen lagras.

Aktörerna

I det här fallet så är det sannolikt att AT&T anlitat någon av de störa aktörerna på marknaden. Det är inte vem som helst som kan lagra 110 miljoner kunduppgifter. I informationen som har lämnats till SEC så finns leverantörer angiven, Snowflake. AT&T är inte heller ensamma om att ha hackats. Närmare 160 av Snowflakes kunder har hackats på ett liknade och snarlikt sätt.

Auto Parts, Allstate, Anheuser-Busch, Los Angeles Unified, Mitsubishi, Neiman Marcus, Progressive, Pure Storage, Santander Bank, State Farm och Ticketmaster finns med på en rätt lång lista av drabbade.

Fördröjdes

Krebs on Security avslöjar också att informationen om intrånget och stölden av kunddata fördröjdes på begäran av FBI, den amerikanska federala polisorganisationen:

”Kort efter att ha identifierat ett potentiellt intrång i kunddata och innan AT&T fattat sin materialitetsbedömning, kontaktade AT&T FBI för att rapportera händelsen”, står det i FBI:s uttalande. ”Vid bedömningen av överträdelsens karaktär diskuterade alla parter en potentiell försening av offentlig rapportering enligt punkt 1.05(c) i SEC-regeln, på grund av potentiella risker för nationell säkerhet och/eller allmän säkerhet. AT&T, FBI och DOJ samarbetade genom den första och andra fördröjningsprocessen, allt samtidigt som de delade viktig hotintelligens för att stärka FBI:s utredningar och för att hjälpa AT&T:s incidentresponsarbete.”

Materialitetsbedömning är, i korthet, en genomgång och analys av vad som kan förväntas av ditt företag – vad du kan antas att du måste göra.

Jakten på de skyldiga

Jakten på den eller de skyldiga har inletts och handlar det om att någon inne på Snowflake har stulits denne smått enorma mängd data så står och faller framgången med vilka interna säkerhetssystem som Snowflake använder och tillämpar. Det är inte bara rimligt att anta att vem som helst inte ska kunna kopiera data likväl som att alla åtgärder ska loggas och sparas – det är ett krav.

Nu blir detta spekulationer men hur du än vrider och vänder på det som har hänt så har säkerheten inte fungerat. Kan någon stjäla kunduppgifter tillhörande alla, i stort sett alla, AT&T:s kunder så har säkerheten fallerat. Finns det sedan en lång lista på närmare 160 andra kunder som också drabbats så är det lätt att dra slutsatsen att det handlar om grundläggande, fundamentala och generella brister – i klartext uppenbara säkerhetsbrister.

Utifrån

Mediauppgifter gör gällande att en sedan tidigare känd hackare ska ligga bakom intrånget och att det har begåtts utifrån. Stämmer de uppgifterna så har ställen sannolikt möjliggjorts genom stora brister i säkerheten runt lagringen av AT&T:s data.

Slutsatsen blir – 110 miljoner kunduppgifter stals därför att säkerhetssystemen inte har fungerat – om de ens har existerat.

Intrånget hos AT&T: Spåren pekar mot en amerikansk hackare som bor i Turkiet