Según informes, un hombre presuntamente detrás de una serie de ciberataques corporativos está detenido en Canadá. Bloomberg reportado el lunes que el sospechoso, Alexander “Connor” Moucka, de 26 años, fue detenido por las autoridades en virtud de una orden de arresto provisional el 30 de octubre, tras una solicitud de Estados Unidos. Los ataques se dirigieron a clientes corporativos de Snowflake, un socio de datos en la nube de AT&T, Live Nation y otros.
Los ataques se dirigieron a más de 100 organizaciones, lo que provocó el robo de datos personales de millones de usuarios. Además de AT&T y Ticketmaster, esa lista incluía Lending Tree, Advance Auto Parts y Neiman Marcus. AT&T declinó hacer comentarios para esta historia. También nos comunicamos con Live Nation pero no hemos recibido respuesta. (Actualizaremos esta historia si lo hacemos).
Krebs sobre la seguridad reportado el martes que Moucka aparece nombrado en múltiples acusaciones selladas de fiscales estadounidenses y agencias federales de aplicación de la ley. El sospechoso supuestamente obtuvo credenciales robadas de foros de ciberdelincuentes (y lugares similares), apostando a que los clientes habían reutilizado las mismas credenciales en otros lugares. Se dice que luego utilizó esos inicios de sesión para acceder a las cuentas de los clientes corporativos de Snowflake y extorsionarlos, amenazando con vender los datos en foros criminales si no pagaban. AT&T según se informa Pagó al hacker un rescate de 370.000 dólares para eliminar los registros.
krebs dice los identificadores en línea que usó Moucka correspondía a aquellos de un “cibercriminal prolífico” sentado en la intersección de “cibercriminales occidentales de habla inglesa y grupos extremistas que acosan y extorsionan a menores para que se hagan daño a sí mismos o a otros”. El informe afirma que Moucka era parte de un grupo de hackers llamado “UNC5537” que también incluía a un estadounidense “esquivo”, John Erin Binns, actualmente en Turquía. Binns estuvo detrás de un hack de T-Mobile en 2021 que afectó al menos a 76,6 millones de clientes.
Snowflake acusó a sus clientes corporativos de no configurar la autenticación multifactor. “Tenemos un desafío más amplio en la comunidad de seguridad y en las empresas: mucha gente no domina los conceptos básicos”, dijo el director de seguridad de la información de Snowflake, Brad Jones. Bloomberg. Pero el aparente fracaso de Snowflake para requerir La seguridad de dos factores está en igualdad de condiciones con las decisiones de sus clientes de no configurarla, especialmente con millones de información de clientes en juego.
¿Por qué AT&T y otras empresas confiaron a Snowflake tantos datos de clientes? El proveedor de servicios inalámbricos no lo ha dicho. Snowflake ofrece servicios de análisis de datos basados en la nube. En julio, AT&T dijo que “casi todos” sus clientes se vieron afectados por el hack, lo que sugiere que un socio en la nube de su proveedor de servicios inalámbricos estaba analizando potencialmente los datos de casi todos sus suscriptores. Se dijo que un total de 110 millones de clientes de AT&T se vieron afectados.
Afortunadamente, AT&T dijo que la infracción no incluía el contenido de llamadas o mensajes de texto. Sin embargo, incluía los números de teléfono con los que interactuaba cada cuenta y un recuento de las llamadas, mensajes de texto y duraciones de las llamadas de cada cliente. También contenía números de identificación del sitio celular. El experto en ciberseguridad Javvad Malik dijo a Engadget este verano que este último podría “potencialmente permitir la triangulación de las ubicaciones de los usuarios”.
