AT&T mengumumkan Jumat lalu bahwa data pesan teks dan panggilan pelanggan seluler dari tahun 2022 telah diunduh secara ilegal ke platform cloud pihak ketiga pada bulan April.
AT&T mengatakan bahwa peretas mencuri data dari “hampir semua” pelanggan seluler selama beberapa bulan pada tahun 2022 dan mengunduhnya secara ilegal ke platform cloud pihak ketiga. Perusahaan telekomunikasi yang berbasis di Dallas tersebut mengumumkan pelanggaran data massal tersebut dalam pengajuan regulasi dan siaran pers pada Jumat pagi, yang mengatakan bahwa mereka percaya data tersebut tidak lagi tersedia untuk publik. “AT&T telah mengambil langkah-langkah keamanan siber tambahan sebagai respons atas insiden ini termasuk menutup titik akses yang tidak sah,” tambahnya.
Perusahaan tersebut menyatakan bahwa mereka pertama kali mengetahui insiden tersebut pada bulan April, tetapi Departemen Kehakiman AS menentukan baik pada bulan Mei maupun Juni bahwa “keterlambatan dalam memberikan pengungkapan publik diperlukan” hingga sekarang.
Investigasi AT&T menemukan bahwa sejumlah “aktor ancaman” mengekstraksi file pada bulan April yang berisi catatan panggilan telepon dan pesan teks dari “hampir semua pelanggan seluler AT&T” antara Mei dan Oktober 2022, serta sejumlah kecil pelanggan pada 2 Januari 2023. Juru bicara AT&T menjelaskan bahwa informasi yang diambil adalah “metadata yang diagregat”, yang memuat informasi tentang panggilan dan pesan teks namun bukan konten dari panggilan dan pesan tersebut.
Catatan-catatan tersebut mengidentifikasi nomor telepon lain dengan mana pelanggan yang terkena dampak berinteraksi, termasuk nomor telepon landline AT&T, serta hitungan panggilan dan pesan teks tersebut dan durasi total panggilan untuk hari atau bulan tertentu. “Untuk subset dari catatan tersebut, satu atau lebih nomor ID situs seluler yang terkait dengan interaksi juga disertakan,” tambahnya.
AT&T mengatakan bahwa data tersebut tidak memuat substansi atau cap waktu dari panggilan dan pesan teks tersebut, juga bukan tanggal lahir, nomor keamanan sosial, atau informasi “identifikasi pribadi” lainnya. Meskipun ada pengecualian. “Meskipun data tersebut tidak memuat nama pelanggan, seringkali ada cara, menggunakan alat online yang tersedia publik, untuk menemukan nama yang terkait dengan nomor telepon tertentu,” peringatannya.
AT&T mengatakan bahwa mereka sedang bekerja sama dengan penegak hukum untuk menangkap para pelaku, dan “memahami bahwa setidaknya satu orang telah ditangkap” sejauh ini. Perusahaan tersebut mengatakan bahwa mereka akan memberitahu pengguna yang terkena dampak melalui pesan teks, email, atau surat U.S. mail, dan juga telah menyiapkan sebuah halaman web di mana pelanggan saat ini dan mantan dapat memeriksa apakah informasi mereka terlibat.
Mereka yang terkena dampak dapat mengikuti proses online untuk mendapatkan nomor telepon dari panggilan dan pesan teks dalam data yang diunduh tersebut. AT&T mengatakan bahwa pilihan untuk meminta informasi tersebut akan tersedia hingga akhir tahun ini.
Dan bagi mereka yang khawatir tentang potensi phishing dan penipuan online, AT&T memberikan beberapa saran yang abadi, termasuk tidak membalas pesan teks dari pengirim yang tidak dikenal dengan rincian pribadi dan memastikan bahwa situs web aman dengan mencari “s” setelah “http” dalam alamat tersebut.
Perusahaan tersebut menambahkan bahwa pelanggan yang mencurigai aktivitas pesan teks yang mencurigakan harus meneruskan pesan tersebut ke AT&T, dan melaporkan setiap kecurigaan penipuan pada akun nirkabel AT&T mereka kepada tim mereka. Ini bukan pelanggaran data pertama yang dilaporkan AT&T tahun ini. Mereka mengatakan pada bulan Maret bahwa mereka telah me-reset passcode sekitar 7,6 juta pengguna setelah mereka menemukan kumpulan data di “dark web” yang berisi nomor keamanan sosial dan informasi pribadi lainnya dari sebagian 70 juta pemegang akun saat ini dan mantan.
Secara terpisah, AT&T memberikan $5 kepada sejumlah pelanggan yang terkena dampak oleh pemadaman nasional hampir 12 jam pada bulan Februari. Verizon, Ticketmaster, Dell, dan Bank of America adalah beberapa perusahaan lain yang telah melaporkan pelanggaran data besar-besaran tahun ini, yang memengaruhi jutaan orang secara keseluruhan.