Il colosso USA delle telecomunicazioni AT&T si trova al centro di una nuova e massiccia violazione dei dati che ha coinvolto circa 110 milioni di persone, praticamente tutta la sua base clienti. L’azienda ha rivelato che degli hacker sono riusciti ad accedere a un database cloud contenente registri di chiamate e messaggi di testo dei suoi clienti. Questo incidente, avvenuto in aprile, è stato tenuto nascosto per mesi su richiesta delle autorità federali, che hanno citato come motivo di ciò preoccupazioni legate alla sicurezza nazionale e pubblica.

I dati compromessi riguardano le comunicazioni avvenute tra maggio e ottobre 2022, con un’aggiunta di dati relativi al 2 gennaio 2023. Sebbene AT&T affermi che non sono stati esposti contenuti di chiamate o messaggi, né informazioni personali come numeri di previdenza sociale o date di nascita, la violazione include dati potenzialmente sensibili sulla localizzazione dei dispositivi dei clienti.

Questo incidente si inserisce in un contesto più ampio di violazioni dei dati che hanno colpito i clienti di Snowflake, un fornitore di servizi cloud. Oltre ad AT&T, tra le altre aziende a cui sono stati rubati milioni di dati di clienti dai server Snowflake figurano Advance Auto Parts, Allstate, Anheuser-Busch, Los Angeles Unified, Mitsubishi, Neiman Marcus, Progressive, Pure Storage, Santander Bank, State Farm e Ticketmaster.

AT&T Snowflake

Gli hacker hanno sfruttato la debolezza delle misure di sicurezza di Snowflake, accedendo a database protetti solo da semplici combinazioni di nome utente e password, senza l’uso di autenticazione a più fattori.

Non è chiaro perché così tante grandi aziende continuino a credere che sia in qualche modo accettabile memorizzare così tanti dati sensibili dei clienti con così poche protezioni di sicurezza. Ad esempio, la già citata Advance Auto Parts ha dichiarato che i suoi dati sottratti includevano nomi completi, numeri di previdenza sociale, patenti di guida e numeri di carta d’identità di 2,3 milioni di persone tra ex dipendenti e candidati al lavoro.

Questo potrebbe essere dovuto al fatto che, a parte le azioni legali collettive che immancabilmente emergono dopo queste violazioni, c’è poco da fare per ritenere le aziende responsabili di pratiche di sicurezza approssimative. Non a caso AT&T ha dichiarato alla SEC (Securities and Exchange Commission) di non ritenere che questo incidente possa avere un impatto sostanziale sulle sue condizioni finanziarie e ciò, purtroppo, evidenzia un’apparente mancanza di conseguenze concrete per le aziende coinvolte in tali incidenti.