In einer Reihe von Ereignissen, die die Cybersicherheitsbranche seit mehreren Jahren prägen, entwickelt sich der Fall um den möglichen massiven Diebstahl von Kundendaten beim amerikanischen Telekommunikationsgiganten AT&T weiter. Diese Woche wurde bekannt gegeben, dass ein kompletter Datensatz, der vor drei Jahren erstmals von einem Hacker geleakt wurde, online gestellt wurde und die persönlichen Daten von rund 73 Millionen Kunden preisgab.
Die Offenlegung dieser Daten, darunter Namen, Wohnadressen, Telefonnummern, Sozialversicherungsnummern und Geburtsdaten, wurde nach einer neuen Analyse bestätigt. Mehrere AT&T-Kunden haben die Richtigkeit ihrer durchgesickerten personenbezogenen Daten bestätigt und damit die Situation noch realistischer gemacht. Wie diese Daten durchsickerten, bleibt für AT&T jedoch ein ungelöstes Rätsel.
Der Schatten eines Zweifels zeichnet sich ab über die genaue Herkunft der Daten. Bis August 2021 hatte der betreffende Hacker nur einen Bruchteil der Daten weitergegeben, was eine authentische Überprüfung erschwerte. AT&T teilte daraufhin mit, dass die offengelegten Informationen „offenbar nicht aus unseren Systemen stammten“ und vermied jegliche Spekulationen über deren Herkunft oder Zuverlässigkeit.
Der Fall nahm eine neue Wendung, als Troy Hunt, Sicherheitsforscher und Schöpfer der Website zur Meldung von Datenschutzverletzungen Have I Been Pwned, den vollständigen Datensatz in die Hände bekam. Nach einer Untersuchung und durch direkte Befragung von AT&T-Kunden bestätigte Hunt die Realität der durchgesickerten Daten. Es stellte sich heraus, dass dieser Datenkorpus 49 Millionen eindeutige E-Mail-Adressen und 44 Millionen Sozialversicherungsnummern enthielt.
Angesichts dieser Behauptungen bleibt AT&T bei seiner Position und argumentiert über seinen Sprecher Stephen Stokes: „Wir haben keine Anzeichen dafür, dass unsere Systeme kompromittiert wurden.“ Das Unternehmen vermutet, dass die online veröffentlichten Daten aus einer alten Sammlung stammen, die bereits in verschiedenen Foren zu sehen war und nicht direkt aus seinen Systemen stammt.
Der Ursprung dieses Datenverstoßes und die Art und Weise, wie die Kundendaten von AT&T kompromittiert wurden, bleiben unklar. Wie Hunt betont, ist es denkbar, dass diese Daten entweder direkt von AT&T, durch Verarbeitung durch Dritte oder vollständig von einer anderen Entität stammen. Allerdings scheint die Lösung dieses Datenschutzverstoßes noch in weiter Ferne zu liegen, so dass AT&T keine klare Antwort darauf hat, wie die Daten seiner Kunden offengelegt wurden.
Diese Situation wirft wichtige Fragen zum Thema auf Verbraucherinformationssicherheit und Unternehmenstransparenz angesichts von Datenschutzverletzungen. Es ist von entscheidender Bedeutung, dass Unternehmen nicht nur die Daten ihrer Kunden wirksam schützen können, sondern auch Erklärungen abgeben und Verantwortung übernehmen, wenn es zu einem Verstoß kommt. Die AT&T-Datensaga veranschaulicht die Herausforderungen, denen sich Telekommunikationsgiganten und ihre Nutzer in einer zunehmend digitalisierten und anfälligen Welt gegenübersehen.