La gigante de las telecomunicaciones AT&T ha cambiado los códigos de acceso de millones de cuentas de clientes después de que a principios de este mes se filtrara en internet una gran cantidad de datos con registros de clientes de AT&T, según informó exclusivamente TechCrunch.
La gran empresa de telecomunicaciones estadounidense inició el cambio masivo de códigos de acceso después de que TechCrunch le informara el lunes que los datos filtrados contenían códigos de acceso encriptados que podrían usarse para acceder a las cuentas de clientes de AT&T.
Un investigador de seguridad que analizó los datos filtrados le dijo a TechCrunch que los códigos de acceso encriptados son fáciles de descifrar. TechCrunch alertó a AT&T sobre los hallazgos del investigador.
En un comunicado dado el sábado, AT&T dijo: “AT&T ha iniciado una investigación sólida con el apoyo de expertos en ciberseguridad internos y externos. Según nuestro análisis preliminar, el conjunto de datos parece ser de 2019 o anterior, e impacta a aproximadamente 7.6 millones de titulares de cuentas actuales de AT&T y aproximadamente 65.4 millones de antiguos titulares de cuentas”.
“AT&T no tiene evidencia de acceso no autorizado a sus sistemas que haya resultado en la extracción de este conjunto de datos”, añadió el comunicado.
TechCrunch retrasó la publicación de esta noticia hasta que AT&T pudo comenzar a cambiar los códigos de acceso de las cuentas de los clientes. AT&T también publicó consejos sobre qué pueden hacer los clientes para mantener seguras sus cuentas.
Los códigos de acceso de las cuentas de AT&T suelen ser números de cuatro dígitos que se utilizan como una capa adicional de seguridad cuando se accede a la cuenta de un cliente, como al llamar al servicio al cliente de AT&T, en las tiendas minoristas y en línea.
Esta es la primera vez que AT&T reconoce que los datos filtrados pertenecen a sus clientes, tres años después de que un pirata informático afirmara haber robado 73 millones de registros de clientes de AT&T. AT&T había negado una violación de sus sistemas, pero el origen de la filtración sigue sin estar claro.
AT&T dijo el sábado que “aún no se sabe si los datos en esos campos se originaron en AT&T o en uno de sus proveedores”.
En 2021, el pirata informático que afirmó la violación de AT&T solo publicó una pequeña muestra de registros, lo que dificultó comprobar si los datos eran auténticos. A principios de marzo, un vendedor de datos publicó los 73 millones completos de supuestos registros de AT&T en un conocido foro de ciberdelincuencia, lo que permitió un análisis más detallado de los registros filtrados. Clientes de AT&T han confirmado desde entonces que sus datos de cuenta filtrados son precisos.
Los datos filtrados incluyen nombres de clientes de AT&T, direcciones de casa, números de teléfono, fechas de nacimiento y números de la Seguridad Social.
El investigador de seguridad Sam “Chick3nman” Croley le dijo a TechCrunch que cada registro en los datos filtrados también contiene el código de acceso de la cuenta del cliente de AT&T en un formato encriptado. Croley verificó sus hallazgos buscando registros en los datos filtrados con códigos de acceso de cuentas de AT&T que solo él conocía.
Croley dijo que no era necesario descifrar el cifrado para descifrar los datos del código de acceso.
Croley tomó todos los códigos de acceso encriptados del conjunto de datos de 73 millones y eliminó todos los duplicados. El resultado fue de alrededor de 10,000 valores encriptados únicos, lo que se corresponde con cada permutación posible de código de acceso de cuatro dígitos que van del 0000 al 9999, con algunos valores atípicos para la pequeña cantidad de clientes de AT&T con códigos de acceso de más de cuatro dígitos.
Según Croley, la falta de aleatoriedad suficiente de los datos encriptados significa que es posible adivinar el código de acceso de cuatro dígitos del cliente basándose en la información circundante en el conjunto de datos filtrados.
No es raro que las personas establezcan códigos de acceso – particularmente si se limitan a cuatro dígitos – que signifiquen algo para ellos. Podría ser los últimos cuatro dígitos de un número de la Seguridad Social o el número de teléfono de la persona, el año de nacimiento de alguien o incluso los cuatro dígitos de un número de casa. Todos estos datos circundantes se encuentran en casi todos los registros en el conjunto de datos filtrados.
Al correlacionar los códigos de acceso de cuenta encriptados con los datos de cuenta circundantes, como las fechas de nacimiento de los clientes, los números de casa y los números parciales del Seguro Social y los números de teléfono, Croley pudo revertir la ingeniería de qué valores encriptados coincidían con qué código de acceso en texto plano.
AT&T dijo que se comunicará con todos los 7.6 millones de clientes existentes cuyos códigos de acceso cambió, así como con los clientes actuales y anteriores cuya información personal se vio comprometida.
