黑客声称入侵了全球最大电信公司,窃取 2400 万用户数据
HackerNews 编译,转载请注明出处: 攻击者声称已获取AT&T基础设施的实时访问权限,这实质上使他们能够绕过与特定电话号码绑定的双因素认证。据称,此次黑客攻击影响了数百万AT&T用户。 恶意行为者在一个流行的地下论坛上宣布了他们的最新行为,该论坛通常用于交易数据泄露信息和软件漏洞。根据帖子内容,有人侵入了美国电信巨头AT&T的系统,并在其内部植入恶意软件长达数周而未被发现。 我们已联系AT&T,并在收到回复后更新本文。 与此同时,Cybernews研究团队正在调查攻击者的说法。包含所谓数据样本的网站被发布在暗网上,但目前无法访问,因此无法验证说法的真实性。一旦获得更多数据细节,我们将更新本文。 (AT&T数据泄露帖子暗网截图,由Cybernews提供) “威胁行为者声称已部署了一个定制的恶意负载,这使他们能够对AT&T的核心系统拥有读/写权限,”我们的团队解释道。 “根据黑客的说法,这种访问权限允许进行SIM交换攻击、读取通过短信发送的2FA验证码,并访问一个包含约2400万AT&T用户数据的数据库。截至目前,Cybernews研究团队尚无法验证这些说法的任何一项。” 这次AT&T数据泄露可能有多危险? 帖子作者声称,他们入侵的数据库不是静态的,这意味着所谓的攻击使攻击者能够修改AT&T基础设施内的信息。如果得到证实,这对黑客来说将是一个金矿。 攻击者的说法实质是,他们已能够将2400万AT&T用户的电话号码转移到他们想要的任何SIM卡上。这进而使得SIM交换攻击成为可能,这种攻击方式深受Scattered Spider等黑客组织的青睐,该组织曾攻击过拉斯维加斯的米高梅和凯撒酒店以及英国最大零售商玛莎百货。 “根据黑客的说法,这种访问权限允许进行SIM交换攻击、读取通过短信发送的2FA验证码,以及访问一个包含约2400万AT&T用户数据的数据库。截至目前,Cybernews研究团队尚无法验证这些说法的任何一项。”团队解释道。 SIM交换允许攻击者接管发送到特定电话号码的所有通信。想想你在尝试登录受保护服务时,手机上收到的双因素认证码。 此外,对实时数据库的访问可能使攻击者能够实时查看认证码,这对从社交媒体账户到银行业务的一切都构成了重大的网络安全问题。 AT&T过去的安全事件 网络犯罪分子不断针对AT&T。攻击者充分意识到该公司储存了大量美国人的数据,因为它是世界上最大的电信公司之一,年收入超过1220亿美元。 今年早些时候,恶意行为者声称他们掌握了数千万AT&T的记录,包括税务ID、姓名和IP地址。然而,攻击者提供的数据样本不足以证实黑客攻击。 去年四月,AT&T表示其客户数据从第三方云平台被非法下载,几乎所有客户都受到影响。 消息来源:cybernews; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
法国监管机构因歧视性 ATT 同意实践对苹果处以 1.5 亿欧元罚款
HackerNews 编译,转载请注明出处: 法国竞争监管机构对苹果公司实施 App Tracking Transparency (ATT) 隐私框架的方式处以 1.5 亿欧元(约 1.62 亿美元)罚款。 法国竞争管理局(Autorité de la concurrence)表示,将对苹果公司处以经济处罚,原因是该公司在 2021 年 4 月 26 日至 2023 年 7 月 25 日期间,滥用了其作为 iOS 和 iPadOS 设备移动应用分销商的市场主导地位。 苹果在 iOS 14.5、iPadOS 14.5 和 tvOS 14.5 版本中引入的 ATT 框架,要求移动应用必须获得用户的明确同意,才能访问其设备的唯一广告标识符(即广告商标识符 IDFA),并在应用程序和网站之间跟踪用户,以进行定向广告投放。 “除非您获得用户的许可以启用跟踪,否则设备的广告标识符值将全部为零,您不得对其进行跟踪,”苹果在其官方网站上指出。”虽然您可以在任何时间显示 AppTrackingTransparency 提示,但只有在您展示该提示并用户授予权限后,设备的广告标识符值才会被返回。” 除了请求跟踪权限外,应用开发者还需要说明进行此类跟踪的具体目的。 “尽管 App Tracking Transparency (ATT) 框架的目标本身并无问题,但其实施方式既不是实现苹果公司声明的个人数据保护目标所必需的,也不成比例,”法国监管机构表示。 监管机构将 ATT 描述为”人为复杂”,并指出通过该框架获得的同意并不符合《法国数据保护法》的法律要求,因此开发者必须使用自己的同意收集解决方案。这导致用户会看到多个同意弹窗。 法国监管机构指出 ATT 实施中的两种不对称性 法国竞争管理局还指出了 ATT 实施方式中的两种不对称性。其中之一是,用户在同意被跟踪时需要进行两次确认,而拒绝跟踪则只需一步操作——这一点被认为破坏了”框架的中立性”。 “虽然发布者必须从用户处获得双重同意才能在第三方网站和应用程序上进行跟踪,但苹果公司在其自有应用中并未向用户请求同意(直到 iOS 15 实施之后),”该机构指出。”由于这一不对称性,法国国家信息与自由委员会(CNIL)对苹果处以罚款,认定其违反了《法国数据保护法》第 82 条,该条款是《ePrivacy 指令》的本地化版本。” “这一不对称性至今仍然存在,因为苹果公司为其自身的数据收集引入了一个单一的’个性化广告’弹窗来获取用户同意,而对于第三方数据收集,仍然要求开发者获得双重同意。” 值得注意的是,该命令并未要求对 ATT 框架进行具体更改。据路透社报道,这”取决于苹果公司自行确保其现在遵守裁决”。对于苹果来说,这笔罚款不过是九牛一毛——在截至 2024 年 12 月 28 日的季度中,该公司在 1243 亿美元的营收中实现了 363 亿美元的净利润。 苹果公司在与美联社分享的声明中表示,ATT 提示对所有开发者(包括苹果自身)都是一致的,并且该功能已获得消费者、隐私倡导者和全球数据保护机构的”强烈支持”。 消息来源:The Hacker News; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
黑客拍卖 7000 万用户数据库后 AT&T 否认数据泄露
在一个知名黑客声称要出售一个包含7000万用户个人信息的数据库后,AT&T表示并没有遭遇数据泄露事件。这个被称为ShinyHunters的黑客昨天开始在一个黑客论坛上拍卖这个数据库,起价20万美元,递增报价3万美元。 该黑客表示,愿意立即以100万美元的价格出售。从该黑客分享的样本来看,该数据库包含客户姓名、地址、电话号码、社会安全号码和出生日期。一位不愿透露姓名的安全研究员表示,样本中的四个人中有两个被证实在AT&T有账户。除了这几个细节之外,关于这个数据库如何获得,以及它是否是真实的,目前所知不多。 然而,ShinyHunters是一个著名的黑客,在破坏网站和开发者资源库以窃取凭证或API密钥方面有很长的历史。这种认证然后被用来窃取数据库,然后他们直接卖给其他黑客或通过中间人进行出售。在许多情况下,当一个数据库最终没有卖出去的情况下,ShinyHunters会在黑客论坛上免费发布。在过去,ShinyHunters已经入侵了许多公司,包括Wattpad、Tokopedia、微软的GitHub账户、BigBasket、Nitro PDF、Pixlr、TeeSpring、Promo.com、Mathway等等。目前媒体联系了AT&T,在多封电子邮件中,AT&T表示,这些数据不是来自自己的系统,最近也没有自己的数据库被攻破。 当被问及这些数据是否可能来自第三方合作伙伴时,AT&T选择不做猜测。ShinyHunters表示,对AT&T否认信息泄露并不感到惊讶。虽然ShinyHunters表示没有联系AT&T,但表示愿意与该公司进行谈判。 (消息及封面来源:cnBeta)
AT&T 正对 FirstNet 公共安全网络展开最终测试
据负责搭建 FirstNet 的 AT&T 所述,这个全美公共安全无线网络已经迎来了一个里程碑,目前该公司正对其展开最终测试。周二的时候,AT&T 宣布这个专属 4G 无线网络的“核心”部分已经上线,并且做好了让地方机构与之连接的准备。作为这个网络的“大脑和神经系统”,AT&T 将继续借助有限数量的客户来对其进行测试,以验证网络是否可以满足公共安全的需求。 FirstNet 首席技术官 Jeff Bratcher 在一篇博客文章中表示,该网络的最终测试有望于五月份完成。FirstNet 诞生于 2012 年通过的立法,其授权 FCC 通过拍卖频谱的资金来搭建这个网络。 其目的是搭建一个专用的无线网络,它与商用网络隔离,但是用了相同的频段。这个想法是为了确保频谱的最有效利用,当灾难来袭时,可在全美范围内确保网络的优先访问。 FirstNet 采用了 FCC 在 2008 年剥离出来的 700MHz 无线频段,这种低频谱此前被分配给了广播电视,但由于出色的室内覆盖表现(传播更远、可穿透墙壁等障碍物),它也是构建全国性网络的理想选择。 早在十多年前,9/11 委员会就对这个网络给予了很高的评价。文档指出,在世贸中心遭遇恐袭并倒塌之后,救援行动期间就遇到了第一响应通讯失效的问题。 公共安全专家强调 FirstNet 的上线测试是一个重要的里程碑,但是目前尚未有公共安全机构使用。 与此同时,Verizon 也在本周二宣布,其为第一响应搭建的专属型公共安全 4G LTE 网络,将于本周起向订阅客户开放服务。 稿源:cnBeta,封面源自网络;
AT&T 高管谈“ 网络中立 ”废除必要性: 付费优先能提高自动驾驶安全性
据外媒 thenextweb 报道,日前,AT&T 对外与法律事务高级副总裁 Bob Quinn 在公司博客刊文称,人们对公司的快速通道和节流上存在错误看法,“没有哪个网络中立的讨论能够脱离对付费优先权话题的问题解决。首先我要说的是,付费优先问题一直都是模糊的、理论性的。” 然而实际上,对于付费优先级这个问题并不存在任何模糊或是停留在理论层面的问题。FCC 早在 2015 年的网络中立法中规定,ISP 可以在不违法付费优先级禁令的前提下为一些应用预留宽带。 所以,Quinn 的这一说法并不能站得住脚,另外他还在文章中指出,公司对为某位客户创建快速或慢速通道毫无兴趣,他们关心的则是自动驾驶汽车、远程手术、增强第一反应者通讯、虚拟现实服务等创新技术。在其看来 ,这些技术的应用都离不开端到端的管理,因为它们都是实时交互式的服务。 这就像是在告诉人们,AT&T 以往的网络都是瘫痪的,现在它们终于能够为创新技术提供网络支持了。不过让福特、雪佛兰、日产、特斯拉、保时捷、宝马、谷歌、苹果、英伟达以及其他 AI 公司依靠 AT&T 消费级宽带套餐来支持它们的自动驾驶汽车成败听起来似乎非常可笑。 因为自动驾驶汽车依靠的是它们自己的传感器,而不是由网络提供的信息。即便大家选择认同 Quinn 的这一说法,那么废除网络中立就能为该领域的发展带来改变?这同样值得人们思考。 而对于像谷歌等这样的大型科技公司,相信即便还有网络中立规定,AT&T 等 ISP 不可能无力帮助它们。 稿源:cnBeta,封面源自网络;
AT&T 将于今年在达拉斯、亚特兰大及韦科三城率先部署 5G 网络
美国电话电报公司 AT&T 今天承诺,将于 2018 年内在美国达拉斯、亚特兰大及韦科三城率先部署 5G 网络,并且在工程完成后的未来几个月内继续铺开到更多城市,并将覆盖 5G服务信号的面积提升一倍。AT&T 去年曾经计划建立一个 5G 网络“ 5G Evolution ”,曾被描述为对现有 LTE 能力的重塑和部署,当时被认为是一种混淆概念的营销手段。 但是 3GPP 在去年 12 月已经正式发表了 5G 规范,因此运营商可以非常清晰地建立一个完全符合新标准的信号网络。 AT&T 的 2018 年 5G 计划将率先使用毫米波技术,并引入新的频段,同时可以让现有的设备无缝地迁移到 5G 网络中来。 稿源:cnBeta,封面源自网络
美运营商 AT&T 秘密向执法机构出售用户数据
据外媒报道,本周披露的一份新文件显示,美国电信运营商AT&T正在向地方执法机构出售其用户数据的访问权。AT&T 的这一项被目名为 Hemisphere,此前仅被认为是该公司与美国药品执法局(DEA)为了打击毒品而进行的一项“合作”。该项目可访问AT&T大量的手机元数据。与其他会在一定时间后删除所存元数据的运营商不同,AT&T会长达数年地保存用户的通话时间和位置数据等信息,这些数据最早可追溯到2008年。 但是据新闻评论网站Daily Beast本周披露的一份内部文件显示,AT&T一直在向地方警察部门出售Hemisphere的访问权,获得的数据被用来调查谋杀和医疗福利欺诈等各种案件。 文件显示,地方警察机构每年访问Hemisphere的成本达10万至100万美元,而且警察局只需要出示一张行政传票即可。这要比获得搜查令更容易,因为前者无需通过法官发布。 直到本周一文件披露时,Hemisphere的使用一直对公众保密,甚至包括法官和辩护律师,因为AT&T和执法机构达成了一项保密协议,这意味着警方不能透露在调查中使用了AT&T提供的数据。 稿源:cnBeta.com,封面来源: