Comment AT&T a payé une rançon pour le vol de ses données

Selon le magazine Wired, AT&T aurait payé près de 400 000 $ à un pirate informatique pour supprimer le cache de ses données client volées en avril dernier.

L’opérateur américain AT&T a payé plus de 300 000 $ à un pirate informatique pour supprimer les enregistrements d’appels volés de ses clients en avril dernier. Une vidéo lui a été fournie comme preuve de cette suppression, rapporte Wired.

Le paiement de 5,7 bitcoins, d’une valeur d’environ 370 000 $ à l’époque, a eu lieu le 17 mai. U n chercheur en sécurité anonyme a servi d’intermédiaire, indique le magazine.

Ce dernier, mentionné par son pseudo Reddington, a déclaré à Wired qu’il pensait que la seule copie complète de l’ensemble de données avait été supprimée.

Selon le pirate informatique, sa demande initiale était 1 million $ à AT&T, mais qu’il s’était contenté d’environ un tiers de cette somme.

Le montant est relativement faible pour une violation de données aussi médiatisée, impliquant des métadonnées d’appel pour presque tous les clients d’AT&T.

Une vidéo « preuve » de la suppression des données volées

Plusieurs médias affirment avoir visionné la vidéo, de près de sept minutes, fournie à AT&Tcomme preuve de la suppression des données.

AT&T, le FBI et le ministère de la Justice ont refusé de commenter ce paiement.

Le pirate informatique qui a reçu le paiement d’AT&T révèle que le responsable du piratage était un Américain vivant en Turquie nommé John Erin Binns.

Lire aussi : Cyberattaque sur Snowflake : les derniers enseignements

Arrêté en Turquie en mai dernier pour un vol de données concernant T-Mobile en 2021, John Erin Binns était incarcéré au moment du paiement. Ce qui explique pourquoi le pirate informatique aurait reçu le paiement au nom de Binns.

AT&T a révélé, le 12 juillet, que les données avaient été volées dans un environnement cloud mal sécurisé de Snowflake.

Snowflake a déclaré que le piratage faisait partie d’une campagne plus vaste révélée le mois dernier. Des pirates ont utilisé des informations de connexion volées pour accéder aux environnements de 165 entreprises clientes.

Binns est membre du groupe de piratage ShinyHunters qui serait à l’origine des violations de Snowflake.

Ticketmaster, Santander, LendingTree et Advance Auto Parts ont tous été identifiés comme affectés par les piratages de Snowflake.

Avec Matthew Broersma, Silicon UK

Lire aussi : Alain Bouillé – Cesin : « Il faut se pencher sur la domination croissante de Thoma Bravo dans la cybersécurité »