Ataque massivo compromete dados de milhões de clientes na plataforma Snowflake da AT&T

O ataque visou o ambiente Snowflake, uma plataforma de armazenamento e análise de dados na cloud, usado pela AT&T. Durante onze dias, entre 14 e 25 de abril, os atacantes conseguiram aceder ao sistema, obtendo registos de chamadas e de mensagens de texto dos clientes. Os dados extraídos abrangem um período de seis meses em 2022, além de alguns registos de janeiro de 2023.

Os atacantes tiveram acesso a informações como números de telefone com os quais os clientes AT&T interagiram, frequência dessas interações e duração agregada de chamadas. Para alguns registos, foram também expostos números de identificação de estações base associadas às interações, o que pode ser usado para geolocalização dos intervenientes.

Este incidente não é, infelizmente, um caso isolado. Faz, antes, parte de uma série de ataques que têm visado ambientes Snowflake de várias empresas. A Mandiant, uma empresa de cibersegurança, subsidiária da Google, reportou que pelo menos cem organizações foram afetadas por esta vaga de ataques. Curiosamente, estes ataques não resultaram necessariamente de vulnerabilidades ou configurações incorretas nos sistemas da Snowflake. Em vez disso, os atacantes utilizaram credenciais roubadas, obtidas através de infeções por malware em sistemas não pertencentes à Snowflake.

Mas, ainda assim, um fator agravante neste cenário foi a ausência de autenticação multifator em muitas das contas afetadas, o que facilitou significativamente estes acessos não autorizado. Esta falha básica de segurança serve como um alerta para todas as organizações sobre a importância de implementar medidas de proteção fundamentais. Só após a revelação do ataque à AT&T a Snowflake tomou a iniciativa de impor a autenticação multifator para todos os utilizadores.

A AT&T afirma ter detetado o ataque a 19 de abril, ativando imediatamente o seu processo de resposta a incidentes com o apoio de especialistas externos em cibersegurança. A empresa implementou medidas adicionais de segurança e encerrou o ponto de acesso não autorizado. No entanto, a divulgação pública do incidente foi adiada a pedido do FBI e do Departamento de Justiça dos EUA, devido a preocupações relacionadas com a segurança nacional e pública.

Este atraso na divulgação levanta questões sobre o equilíbrio entre a necessidade de transparência para com os clientes afetados e as exigências das investigações de segurança nacional. A AT&T está a colaborar com as autoridades na investigação em curso, e pelo menos uma pessoa já foi detida em ligação com este ataque.

O incidente da AT&T sublinha a crescente sofisticação e escala dos ciberataques modernos. As organizações enfrentam desafios cada vez maiores na proteção de dados sensíveis, especialmente em ambientes cloud. A capacidade de detetar rapidamente atividades suspeitas, responder eficazmente a incidentes e manter controlos rigorosos sobre o acesso a informações confidenciais torna-se crucial.

Além disso, este caso realça a importância da comunicação transparente com as partes interessadas, incluindo reguladores e clientes. Num mundo onde os dados pessoais são cada vez mais valiosos, a confiança dos clientes depende não apenas da capacidade de prevenir ataques, mas também da forma como as empresas gerem e comunicam os incidentes quando estes ocorrem. Muitas questões estão ainda por responder relativamente a este ataque, num caso que pode ser, a todos os títulos exemplar do que uma grande empresa gerindo dados tão sensíveis, não deve fazer. Já não se falando da ausência de autenticação multifator, referida acima, mereceria a pena saber-se porque dados de tal forma sensíveis não foram guardados de forma cifrada, antes parecendo acessíveis em claro. Outra questão, igualmente premente, é como é possível ter sido extraído tal volume de dados e ninguém, na equipa da AT&T, tenha notado, não existisse mecanismo de alerta face a tal aumento de volumes de tráfego, especialmente numa empresa que é especializada em gerir e monetizar, precisamente, variações de volumes de tráfego. Não terá sido por falta de tecnologia para o fazer, decerto.

À medida que as ameaças cibernéticas continuam a evoluir, torna-se evidente que nenhuma organização está imune, até aquelas com maiores recursos — e AT&T tem-nos, certamente. O ataque à AT&T serve como um lembrete poderoso da necessidade de vigilância constante, investimento contínuo em segurança e uma abordagem proativa à proteção, começando nos níveis mais básicos de autenticação de utilizadores e cifra de dados.