08, 11 2022
Дані, які, ймовірно, належать клієнтам Інтернету, телебачення та стаціонарного зв’язку опинились в руках румунських кіберзлочинців.
У четвер, 4 серпня, Hold Security перехопила стислий архів розміром 1,6 гігабайт, розміщений на популярному файлообмінному сайті у Dark Web. Найбільшим файлом у наборі даних був нестиснутий файл розміром 3,6 гігабайта під назвою dbfull. На перший погляд, файл містив викрадену ідентифікаційну інформацію. Після більш детального вивчення стало зрозуміло, що дані, ймовірно, належать клієнтам AT&T.
Протягом 24 годин після виявлення дані були передані AT&T. В подальшому AT&T оприлюднила заяву, що їхні системи не були зламані. Для дослідження даних Hold Security працювала з журналістом Брайаном Кребсом. Тут ми подаємо інформацію про наше розслідування.
Файл складається з 28 511 318 записів із такими рядками:
Повне ім’я, мобільний номер, стаціонарний або робочий телефон, вулиця, повний поштовий індекс, місто, поштовий індекс, електронна адреса, DOB, SSN
У масиві даних повторювані рядки не перевищують 3%. Є декілька зафіксованих випадків більш ніж одного запису на особу з різними адресами, всього 22,8 мільйона унікальних адрес електронної пошти та 23 мільйони унікальних SSN.
Чому ці дані, ймовірно, належать клієнтам AT&T?
Плюсова адресація – добре відома техніка, яка дозволяє включати в поле імені користувача в адресі електронної пошти знак плюса та пам’ятку, яка використовується багатьма особами, які піклуються про безпеку, щоб позначати свої адреси електронної пошти, які зберігаються постачальником, значущими примітками. У цьому наборі даних є 293 адреси електронної пошти з плюсовою адресацією. Цей показник можна вважати відносно низьким, проте ми припускаємо, що велика кількість абонентів не зареєструвалася на послуги AT&T через Інтернет та, ймовірно, взаємодіяла зі службою підтримки клієнтів AT&T, щоб ввести свою інформацію. Це, в свою чергу, зменшило кількість записів плюсової адреси.
Усі адресовані адреси електронної пошти відповідають умовам AT&T або послуг:
АТТ – 190 адрес
UVERSE – 42 адреси
Інші терміни включають TV, BILLS, ATTUVERSE, UTILITY, DTV, DIRECTV, BILL, TVATT, SERVICES, PHONE, ENTERTAINMENT тощо.
Унікальні друкарські помилки (одруки). Перша підказка про те, що дані належать клієнтам AT&T, надійшла від старшого аналітика Hold Security, чиє унікальне прізвище (досить складне) було написане з помилкою в наборі даних. Єдине місце, де існує ця орфографічна помилка, це рахунок цього аналітика за Інтернет від AT&T.
За даними AT&T, вони пропонують свої інтернет-послуги в 21 штаті.
Запуск аналізу станів дає нам таку статистику:
| Штат | відсоток |
|---|---|
| CA | 18.68% |
| TX | 16.31% |
| FL | 7.73% |
| IL | 6.16% |
| MI | 5.31% |
| GA | 4.92% |
| OH | 4.81% |
| MO | 3.36% |
| IN | 3.12% |
| TN | 2.97% |
| NC | 2.73% |
| LA | 2.20% |
| WI | 2.34% |
| AL | 2.24% |
| SC | 1.81% |
| OK | 1.78% |
| MS | 1.57% |
| KS | 1.47% |
| AR | 1.32% |
| KY | 1.21% |
| NV | 0.47% |
| Немає | 5.64% |
| Інші штати | 1.64% |
Базуючись на картах покриття AT&T, доступних в Інтернеті, ці дані на 100% збігаються з покриттям AT&T для 21 найбільшого штату в наборі даних.
Записи, пов’язані з AT&T
Набір даних містить не лише інформацію про користувачів, а й близько 12 900 компаній (на основі LLC, Inc і збігів у назвах). Іншим популярним шаблоном пошуку було слово «ATT» у полі імені. 387 імен починаються з імені ATT, причому різні записи, наприклад «ATT PVT XLOW», з’являються 81 раз. Більшість адрес ведуть до офісів AT&T.
Електронні листи
AT&T не можна вважати постачальником електронної пошти, він пропонує свої безкоштовні послуги електронної пошти через електронну пошту Yahoo, що дозволяє своїм користувачам мати доменні імена електронної пошти @att.net @sbcglobal.net і @bellsouth.net.
Нижче наведено розбивку найпопулярніших доменів електронної пошти, визначених у наборі даних:
| Усього | 22.786.997 | |
|---|---|---|
| Gmail | 7.002.210 | 30.73% |
| Yahoo | 5.452.563 | 23.93% |
| ATT.NET | 3.120.803 | 13.70% |
| Hotmail | 1.513.478 | 6.64% |
| SBCGLOBAL.NET | 1.513.478 | 5.02% |
| AOL | 1.094.924 | 4.81% |
| BELLSOUTH.NET | 496.680 | 2.18% |
На ці найпопулярніші домени електронної пошти припадає 87% усіх доменів і майже 21% усіх доменів електронної пошти, які належать клієнтам AT&T.
Дата порушення даних
Хоча дані не мають позначок часу, а файл dbfull датований 6 червня 2022 року, Hold Security застосував такий підхід, щоб приблизно визначити дату останніх записів у файлі.
Маючи доступне поле «Дата народження» (DOB) і заяву на офіційному сайті AT&T про те, що AT&T відкриває облікові записи лише особам віком від 18 років, ми проаналізували дані DOB із такими результатами:
| рік народження | кількість збігів |
|---|---|
| 1997 | 86.419 |
| 1998 | 45.661 |
| 1999 | 15.305 |
| 2000 | 506 |
| 2001 | 26 |
| 2002 | 14 |
Для народжених у 2000 році:
| місяць народження | кількість збігів |
|---|---|
| січень | 279 |
| лютий | 159 |
| березень | 50 |
| квітень | 6 |
| травень | 2 |
| червень | 0 |
На основі цієї статистики ми бачимо, що остання значна кількість передплатників народилася в березні 2000 року. Тому, ймовірно, що набір даних було створено ближче до березня 2018 року.
Служба розвідки загроз Hold Security відстежили ці дані на популярному файлообмінному сайті в Dark Web. Зловмисники розмістили дані з IP-адрес румунських інтернет-провайдерів. Інші дані у файлах, знайдених разом із набором даних dbfull, містили коментарі, підказки та інші відомості румунською мовою. Наразі про авторів загроз відомо небагато.
Інші дані, які надсилалися разом із dbfull, не демонстрували таких самих показників і не могли бути віднесені до клієнтів AT&T, хоча вони також містили ідентифікаційні дані (близько 3,2 мільйона записів із 14% перекриттям SSN з даними клієнтів AT&T), включаючи імена, адреси, DOB та SSN.
Інші сценарії та відомості чітко вказують на шаблони пошуку та перетворення даних, які зловмисники можуть використовувати для використання викраденої ідентифікації. Однак прямих проявів зловживань виявлено не було.
Незважаючи на те, що ми виявили багато інформації про цей набір даних, наразі ми не маємо відомостей, звідки ці дані походять. Нам також невідомо, чи викрали ці дані румунські зловмисники або просто дісталися них із невідомого джерела.
Hold Security надасть додаткову інформацію, коли завершить дослідження.
Натисніть тут щоб дізнатися більше про можливості Hold Security Threat Intelligence та Dark Web Monitoring.
