AT&T資料外洩事故傳出是在土耳其被捕的美國駭客所為，該公司低頭支付37萬美元贖金

上週末美國大型電信業者AT&T向當地證券交易委員會（SEC）呈交8-K表單，證實駭客在今年4月存取第三方雲端平臺的工作區，複製含有客戶通話及簡訊互動記錄的資料，該公司超過1億名的用戶幾乎都受到影響，外傳攻擊者攻入雲端大數據服務Snowflake，劫掠眾多未啟用多因素驗證（MFA）的帳號而得逞，本週這起事故傳出新的進展。

根據新聞網站Wired的報導，AT&T決定向駭客組織低頭，支付贖金給駭客組織ShinyHunters的其中一名成員，以此條件促使對方刪除所竊取到的資料。這名駭客向該媒體透露收款的加密貨幣錢包地址，以及向他付款的來源錢包地址。Wired使用區塊鏈追蹤工具進行驗證，上述兩個加密貨幣錢包在5月17日出現一筆約為5.7個比特幣的交易款項。加密貨幣追蹤業者TRM Labs也證實這筆交易，他們看到金額約為5.72個比特幣，當時交易金額相當於373,646美元。隨後駭客經由數個加密貨幣交易所及錢包洗錢，但錢包的所有者身分目前仍不得而知。

使用ID為Reddington的人士也證實有此交易，因為駭客請他當雙方談判的中間人，這名人士收到AT&T支付的費用，他向該媒體提供收款資料證明此事。並指出駭客原本向AT&T索討100萬美元贖金，在討價還價後以約37萬美元的金額達成共識。

駭客也透過這名人士提供AT&T刪除竊得資料的影片作為證據，Wired向該電信業者進一步確認是否真有其事，但並未得到回應。究竟駭客是否真的刪除手上的資料，也不得而知。

值得留意的是，AT&T很有可能經由Reddington居中協商，而輾轉得知資料外洩的情況。

此人透露自己是在今年4月中旬捲入這起事故，先收到住在土耳其的美國駭客John Erin Binns的通知，聲稱握有他的AT&T通話記錄資料，Reddington進行比對之後，確認駭客提供的是真實資料，對方後來向他宣稱，手上還有數百萬個AT&T客戶的通話及簡訊文字記錄，而這些資料的來源，就是由Snowflake代管、安全性不足的雲端儲存帳號。

不過，他也提及收取贓款的駭客並非John Erin Binns，而是另有其人。

在得知上述情形之後，Reddington向資安業者Mandiant通報此事，Mandiant再通知AT&T。而AT&T在呈報給美國證券交易所的資料當中，提及得知資料外洩的情況在今年4月，時間點也與Reddington的說法相符。

但近期因Snowflake帳號保護不夠安全而遭駭客闖入，導致資料外洩的企業組織，並非只有AT&T。上個月資安業者Mandiant透露，今年4月開始，他們陸續收到使用Snowflake的企業組織受害的情況，截至6月上旬，他們向165個疑似受害的組織進行通報。而目前被公開的受害企業，還包括Ticketmaster、桑坦德銀行、LendingTree，以及Advance Auto Parts。

根據Reddington的了解，這波攻擊第一個受害的很可能是Ticketmaster，之後駭客向其他Snowflake用戶下手。

向AT&T收下贖金的駭客向Wired透露，這起攻擊事故是John Erin Binns所為，該名美國駭客號稱取得數十億筆記錄，並在竊得相關資料並與其他人分享。Reddington認為，這些駭客應該沒有對外公開相關資料，但他不確定John Erin Binns向多少人分享部分內容，以及得到資料的駭客是否用於不法。

為何該電信業者並未直接付款給John Erin Binns？負責收款的駭客指出，因為這名駭客今年5月在土耳其遭到逮捕，原因是他曾在2021年對另一家電信業者T-Mobile竊取大量資料。而這樣的說法，與AT&T通報美國證券交易所的內容有交集，因為該公司也提及至少有1名涉案駭客遭到逮捕。新聞媒體404 Media指出，這名被捕的駭客就是John Erin Binns。

針對這些線索，Wired推測，John Erin Binns可能得知自己即將因竊取T-Mobile資料遭到逮捕，才承認AT&T資料外洩事故是他所犯下。