Um homem supostamente por trás de uma série de ciberataques corporativos está preso no Canadá. A Bloomberg relatou na segunda-feira que o suspeito, Alexander “Connor” Moucka, de 26 anos, foi apreendido pelas autoridades com um mandado de prisão provisório em 30 de outubro, após um pedido dos EUA. Os hacks visaram clientes corporativos da Snowflake, uma parceira de análise de dados em nuvem da AT&T, Live Nation e outros.
Os hacks atacaram mais de 100 organizações, levando ao roubo de dados pessoais de milhões de usuários. Além da AT&T e da Ticketmaster, a lista incluía Lending Tree, Advance Auto Parts e Neiman Marcus. A AT&T se recusou a comentar sobre essa história. Também entramos em contato com a Live Nation, mas não recebemos resposta. (Atualizaremos essa história se recebermos.)
Krebs on Security informou na terça-feira que Moucka é nomeado em vários indiciamentos selados de promotores dos EUA e agências de aplicação da lei federal. O suspeito supostamente obteve credenciais roubadas de fóruns de cibercriminosos (e lugares semelhantes), apostando que os clientes reutilizavam as mesmas credenciais em outros lugares. Ele teria então usado esses logins para acessar as contas dos clientes corporativos da Snowflake e extorqui-los, ameaçando vender os dados em fóruns criminosos se não pagassem. A AT&T supostamente pagou ao hacker um resgate de $370.000 para deletar os registros.
Krebs diz que os apelidos online que Moucka usava correspondiam aos de um “cibercriminoso prolífico” que se senta na interseção de “cibercriminosos ocidentais de língua inglesa e grupos extremistas que assediam e extorquem menores a se prejudicarem ou prejudicarem outros.” O relatório afirma que Moucka fazia parte de um grupo de hackers chamado “UNC5537”, que também incluía um americano “elusivo”, John Erin Binns, atualmente na Turquia. Binns esteve por trás de um ataque à T-Mobile em 2021 que afetou pelo menos 76,6 milhões de clientes.
A Snowflake apontou o dedo para seus clientes corporativos por não terem configurado a autenticação de múltiplos fatores. “Temos um desafio mais amplo na comunidade de segurança e nas empresas que muitas pessoas não estão acertando o básico”, disse Brad Jones, Diretor de Segurança da Informação da Snowflake, à Bloomberg. No entanto, a aparente falha da Snowflake em exigir segurança de dois fatores está em pé de igualdade com as decisões de seus clientes de não configurá-la — especialmente com a informação de milhões de clientes em jogo.
Por que a AT&T e outras empresas confiaram tanto à Snowflake com os dados dos clientes? A operadora sem fio não disse. A Snowflake oferece serviços de análise de dados baseados em nuvem. Em julho, a AT&T disse que “quase todos” os seus clientes foram afetados pelo hack, sugerindo que quase todos os seus assinantes estavam potencialmente tendo seus dados analisados por um parceiro de nuvem de sua operadora sem fio. Um total de 110 milhões de clientes da AT&T foram afetados.
Felizmente, a AT&T disse que a violação não continha o conteúdo de chamadas ou mensagens de texto. No entanto, incluiu os números de telefone com os quais cada conta interagiu e um resumo das chamadas, mensagens de texto e durações de chamadas de cada cliente. Também continha números de identificação de sites de células. O especialista em cibersegurança Javvad Malik disse à Engadget neste verão que o último poderia “potencialmente permitir a triangulação das localizações dos usuários.”