Эксклюзив: хакеры слили 86 миллионов записей AT&T с расшифрованными номерами социального страхования

Хакеры выложили в открытый доступ, по их словам, базу данных AT&T, которая, как сообщается, была украдена группой ShinyHunters в апреле 2024 года после того, как они воспользовались серьезными уязвимостями безопасности облачной платформы данных Snowflake.

Как выяснила исследовательская группа Hackread.com, данные были впервые опубликованы на известном российском форуме по киберпреступности 15 мая 2025 года. Они были повторно загружены на тот же форум 3 июня 2025 года, после чего начали распространяться среди других хакеров и на форумах.

После анализа утекших данных мы обнаружили, что они содержат подробный набор личной информации. Каждый из этих пунктов данных сам по себе представляет серьезный риск для конфиденциальности, но вместе они создают полные профили личности, которые могут быть использованы для мошенничества или кражи личности . Данные включают в себя:

• 44 миллиона номеров социального страхования (SSN) (всего 43 989 219)

Вот тревожная часть: злоумышленник утверждает, что и дата рождения, и номера социального страхования (SSN) изначально были зашифрованы, но с тех пор были полностью расшифрованы и теперь включены в утечку данных в виде обычного текста. Проще говоря, если вы являетесь клиентом AT&T, ваш SSN может быть частью этой утечки.

Не то чтобы это что-то сильно изменило; ваши номера социального страхования, скорее всего, уже были раскрыты в результате утечки данных National Public Data в августе 2024 года, когда ныне арестованные хакеры, использовавшие псевдоним USDOD, выложили в интернет более 3,2 миллиарда номеров социального страхования и других персональных данных.

У AT&T долгая история масштабных утечек данных, так что если это кажется вам знакомым, то вы не вообразили. Пристегнитесь, это всего лишь последний из растущего списка.

Как сообщает Hackread.com , в апреле 2024 года компания AT&T столкнулась с серьезной утечкой данных, когда хакеры получили доступ к ее облачной среде Snowflake, скомпрометировав метаданные звонков и текстовых сообщений почти 110 миллионов клиентов.

Утечка данных продолжалась с мая по октябрь 2022 года и включала в себя некоторые записи с января 2023 года, раскрытые номера телефонов, количество взаимодействий и продолжительность вызовов, но не содержание сообщений или персональные данные.

Кибератака была частью масштабной кампании , нацеленной на более чем 160 клиентов Snowflake . Хакеры использовали украденные учетные данные без многофакторной аутентификации, чтобы проникнуть в эти среды.

Скомпрометированные данные AT&T были украдены хакером, связанным с группой ShinyHunters. Отчеты показывают, что AT&T заплатила выкуп в размере около 370 000 долларов в биткоинах, чтобы удалить украденные данные, транзакция была осуществлена ​​через посредника, известного как Reddington.

Стоит отметить, что группа ShinyHunters также взяла на себя ответственность за крупную утечку данных Ticketmaster , связанную с уязвимостью системы безопасности Snowflake, в результате которой данные 560 миллионов пользователей были выставлены на продажу в Интернете.

В ответ на нарушение AT&T инициировала процесс реагирования на инцидент с привлечением сторонних экспертов по кибербезопасности, закрыла несанкционированную точку доступа и уведомила пострадавших клиентов. Компания заявила, что не считает, что данные находятся в открытом доступе.

Нарушение вызвало пристальное внимание со стороны американских законодателей, а сенаторы Ричард Блюменталь и Джош Хоули потребовали объяснений от AT&T и Snowflake относительно пробелов в безопасности, которые привели к инциденту. Они выразили обеспокоенность по поводу неправомерного использования скомпрометированных данных злоумышленниками.

Злоумышленник, стоящий за последней утечкой, утверждает, что база данных содержит 70 миллионов записей о клиентах AT&T, украденных в апреле 2024 года путем эксплуатации серьезной уязвимости безопасности в облачном хранилище данных Snowflake.

«Первоначально это была одна из баз данных, полученных в результате взлома Snowflake, вот моя резервная копия, которую я создал», — говорится в аккаунте, стоящем за утечкой данных. Но соответствует ли это утверждение действительности? Не совсем.

Анализ Hackread.com показывает, что набор данных на самом деле включает более 88 миллионов (88 320 018) записей. После удаления дубликатов число падает до более чем 86 миллионов (86 017 090) уникальных записей, что намного больше заявленных 70 миллионов.

Есть еще одна проблема. Содержимое базы данных не полностью соответствует тому, что было сообщено в связи со взломом AT&T, связанным со Snowflake. Сообщается, что этот взлом раскрыл почти 110 миллионов записей о клиентах, включая метаданные вызовов и текстовых сообщений; ни один из них не появляется в этой новой утечке.

Итак, это частичная база данных AT&T из утечки Snowflake? Может быть, может и нет. Но пока AT&T официально не подтвердит это, нет способа сказать наверняка.

В августе 2021 года печально известная хакерская группа ShinyHunters заявила, что владеет базой данных, содержащей персональные данные более 70 миллионов клиентов AT&T . Они выставили эти данные на продажу на ныне захваченной торговой площадке Raid Forums по цене от 200 000 долларов.

Hackread.com изучил образцы записей, предоставленные группой еще в 2021 году, которые включали полные имена, адреса, почтовые индексы, даты рождения, адреса электронной почты и зашифрованные номера социального страхования (SSN). AT&T ответила, заявив, что, исходя из их расследования, информация, по-видимому, не исходит из их систем.

Однако в апреле 2024 года, после почти двух лет отрицания, AT&T признала утечку данных в августе 2021 года, когда ShinyHunters слили полную базу данных на BreachForums. «Согласно нашему предварительному анализу, набор данных, по-видимому, относится к 2019 году или ранее и затрагивает примерно 7,6 миллиона текущих владельцев счетов AT&T и 65,4 миллиона бывших владельцев счетов», — признала компания.

Hackread.com заметил несколько сходств и различий между утечкой AT&T от апреля 2024 года и последней. Утечка от апреля 2024 года была плохо структурированной. Данные появились в слабо организованном формате с разделителями-конвейерами без меток полей, что затрудняло их интерпретацию или анализ без соответствующей схемы для объяснения каждого значения.

Последняя утечка хорошо структурирована, четко отформатирована и прямо разделена на три CSV-файла, что позволяет легко понять, что представляет каждое поле. Интересно, что наибольшее сходство и различие между двумя утечками заключается в обработке номеров социального страхования (SSN). В утечке 2024 года SSN были зашифрованы. Однако в последней утечке эти же SSN, по-видимому, были расшифрованы.

Hackread.com провел подробный анализ и обнаружил, что все ранее зашифрованные номера социального страхования из предыдущей утечки были тщательно расшифрованы и отображены в новом наборе данных, что сделало их более доступными для вредоносного использования.

Мы также обнаружили совпадающие имена клиентов, адреса электронной почты, физические адреса и номера телефонов в обеих утечках. Однако, если утечка 2024 года содержала около 73 миллионов записей, то последний набор данных включает 86 миллионов.

Это делает неясным, является ли новая утечка просто базой данных 2024 года с расшифрованными значениями или она происходит из более позднего взлома, связанного со Snowflake. Тем не менее, данные кажутся законными, особенно с учетом того, что AT&T уже признала более ранний взлом и утечку данных.

На данный момент сложно сказать с уверенностью, является ли новая утечка базы данных расшифрованной версией утечки Snowflake 2024 года, отдельным дампом или комбинацией того и другого. Однако ясно, что огромное количество крайне конфиденциальных данных клиентов AT&T снова циркулирует, на этот раз в более организованной и потенциально более опасной форме.

С расшифрованными номерами социального страхования, полными личными данными и растущей схемой повторного воздействия ставки для пострадавших пользователей выше, чем когда-либо. Хотя AT&T признала прошлые утечки, компания еще не подтвердила, является ли этот последний набор данных частью того же инцидента или чем-то новым.

Пока не будет дан официальный ответ, к сожалению, ничего не подозревающие клиенты остаются в неведении, полагаясь на наш отчет и форумы, чтобы понять масштаб своего воздействия. Тем не менее, мы связались с AT&T, и эта статья будет обновлена ​​соответствующим образом.