美国电话电报公司(AT&T)周五表示,黑客窃取了该公司几乎所有手机用户六个月的通话和短信记录,这一漏洞有可能泄露数百万美国人的敏感信息。
该公司在向美国证券交易委员会提交的一份文件中称,公司通过内部调查得知,4月份,黑客非法访问并复制了保存在第三方云平台上的AT&T通话记录。
这些数据包含大约2022年5月1日至10月31日以及2023年1月2日之间的通话和短信记录。
通话和信息的内容没有被泄露,客户的个人信息也没有被访问,但记录中确实包括电话号码。此类信息通常被称为元数据(metadata),即有关通信的信息,被认为具有高度敏感性,尤其是在大规模收集和分析以揭示人与人之间的模式和联系时。
根据AT&T2023年的年度报告,该公司的无线网络连接了1.27亿台设备。
该公司在提交给美国证券交易委员会的文件中说,虽然这些数据不包括客户姓名,但通常可以利用公开的在线工具找到与特定电话号码相关的姓名。
联邦通信委员会表示,它已对这一漏洞展开调查,并正在与执法伙伴进行协调。
多伦多大学公民实验室的高级研究员约翰-斯科特-雷尔顿将这次黑客攻击称为巨型入侵,他强调说,如此大规模的元数据被窃取有可能对国家安全造成重大威胁,也会给企业和个人带来麻烦。
他提到爱德华-斯诺登的泄密事件,该事件暴露了美国国家安全局大量收集元数据的行为。
约翰-霍普金斯大学战略研究教授兼阿尔伯罗维奇网络安全研究所所长托马斯-里德说,元数据可以揭示人们的隐私细节,但他提醒说,在对威胁有一个全面的了解之前,还需要进一步了解黑客从AT&T获取了什么。
他说,如果你掌握了某人的元数据,你就能知道他何时上班、在哪里上班、每晚在哪里睡觉。
AT&T表示,针对此次事件已采取额外的网络安全措施,包括关闭非法接入点。该公司表示,将与受黑客攻击影响的客户取得联系。
该公司表示,美国司法部裁定该公司应在5月8日和6月5日公布黑客攻击的细节,但必须在未指明的延迟之后才能公布。
AT&T还说,它正在协助执法人员逮捕黑客。根据AT&T所掌握的信息,该公司了解到至少有一人已被逮捕,但没有提供更多细节。
该公司试图向客户保证,至少截至上周五,AT&T不认为这些数据是公开的。文件还称,黑客攻击不会影响其运营,也不会对其财务业绩产生负面影响。
元数据本身并不包括一个人的真实姓名,尽管这类信息很容易在网上找到。
但由于之前的一个安全问题,周五公布的黑客攻击事件可能对AT&T用户构成更大的威胁。据IT咨询公司Hunter Strategy研发副总裁杰克-威廉姆斯称,AT&T一些用户的姓名曾在3月份公布的一次黑客入侵事件中被泄露。那次事件还包括社会安全号码。
在给NBC新闻的一封电子邮件中说,AT&T之前泄露和公布的数据将帮助威胁行为者将这些客户记录中的大部分电话号码与实际受影响的受害者联系起来。
参议员罗恩-怀登在一份声明中说,这一漏洞表明电信公司运营的法律环境松懈。
他说,这不是大型电话公司披露的第一起数据泄露事件,也不会是最后一起。这些黑客事件几乎都是网络安全不足造成的,除非联邦通信委员会开始追究运营商的过失,否则黑客事件不会停止。这些公司将继续忽视客户安全,直到被处以数十亿美元的罚款。