Des pirates ont accédé aux adresses électroniques d'AT&T et les ont volées.
Plusieurs cybercriminels ont exploité une faiblesse de l'API dans le système d'AT&T et ont eu accès aux adresses électroniques des clients.
Les pirates ont également accédé aux comptes d'échange de crypto-monnaies des clients et ont drainé les fonds. Les clients possédant des comptes de messagerie avec sbcglobal.net, bellsouth.net, att.net et d'autres adresses électroniques AT&T ont été touchés.
Selon le dénonciateur , , ce qui leur permettait de créer des mots de passe de messagerie pour n'importe quel utilisateur.
Avec les clés privées, les pirates peuvent utiliser les applications de messagerie approuvées pour se connecter aux comptes et réinitialiser les mots de passe des comptes connectés, tels que les plateformes de partage de cryptage. Après avoir changé les mots de passe, le pirate peut accéder à n'importe quel portefeuille lié et aux clés privées de cryptographie.
Accès à l'API ou compromission du VPN interne ?
Jim Kimberly, porte-parole d'AT&T, a déclaré que l'entreprise avait identifié la compromission et la création de clés de messagerie non autorisées dont l'utilisation était sans danger.
Il a en outre indiqué que la société avait mis à jour sa surveillance de la sécurité et mis en place une précaution selon laquelle certains utilisateurs doivent réinitialiser de manière proactive leurs mots de passe de messagerie.
Le porte-parole d'AT&T s'est toutefois abstenu de mentionner le nombre d'utilisateurs concernés et a précisé que tous les mots de passe de messagerie générés par les pirates ont été supprimés.
Le dénonciateur a également mentionné les utilisateurs touchés, deux d'entre eux affirmant l'événement.
@troyhunt Les comptes de messagerie AT&T se font pirater car les hackers ont accès à l'API et ils volent également de la crypto-monnaie là où la messagerie respective a été utilisée. Que recommanderais-tu à part migrer vers d'autres services de messagerie ?
– Jit Sark (@jit_sark26) 27 avril 2023
Une victime a admis avoir perdu 134 000 dollars sur son compte Coinbase. Le second a déclaré que le piratage est en cours depuis novembre 2022, avec une dizaine d'attaques jusqu'à présent.
La victime soupçonne les pirates d'avoir eu un accès direct aux fichiers et bases de données d'AT&T contenant les clés Outlook des clients.
Plusieurs utilisateurs d'AT&T ont fait part de leurs inquiétudes via Reddit et ont admis avoir été piratés d'une manière différente. Le lanceur d'alerte a déclaré que les pirates avaient accès au réseau privé virtuel interne d'AT&T.
Pourtant, le porte-parole d'AT&T a nié que les cybercriminels aient eu accès aux systèmes internes de l'entreprise et a insisté sur le fait que les pirates ont utilisé un accès API.
