Jika Anda pelanggan AT&T, Anda punya alasan baru untuk membenci penyedia seluler Anda. Dalam rangkaian peristiwa yang entah bagaimana sepenuhnya dapat diprediksi dan benar-benar menyedihkan, operator nirkabel terbesar kedua di AS telah mengumumkan bahwa peretas baru-baru ini mencuri rekaman panggilan dan teks milik “hampir semua” pelanggannya.
“Pada bulan April, AT&T mengetahui bahwa data pelanggan diunduh secara ilegal dari ruang kerja kami di platform cloud pihak ketiga,” kata perusahaan itu pada hari Jumat dalam sebuah pernyataan. Pengungkapan Komisi Sekuritas dan Bursa“Kami meluncurkan investigasi dan melibatkan pakar keamanan siber terkemuka untuk memahami sifat dan cakupan aktivitas kriminal tersebut. Kami mengambil langkah-langkah untuk menutup titik akses ilegal tersebut.”
Antara tanggal 14 April dan 25 April 2024, peretas tersebut mencuri berkas “yang berisi rekaman AT&T tentang panggilan pelanggan dan interaksi teks yang terjadi antara sekitar tanggal 1 Mei dan 31 Oktober 2022, serta pada tanggal 2 Januari 2023,” kata AT&T. Untungnya, rekaman yang dicuri tidak memiliki titik data pengenal. Menurut perusahaan, “informasi pribadi seperti nomor Jaminan Sosial, tanggal lahir, atau informasi pengenal pribadi lainnya” tidak dicuri. Begitu pula isi teks dan panggilan.
Sebaliknya, informasi yang diambil mengungkap nomor telepon yang dihubungi (atau dihubungi) oleh pengguna tertentu selama periode tertentu, serta frekuensi terjadinya interaksi tersebut. Catatan tersebut mengidentifikasi nomor “yang berinteraksi dengan nomor nirkabel AT&T atau MVNO selama periode ini, termasuk nomor telepon pelanggan telepon kabel AT&T dan pelanggan operator lain, jumlah interaksi tersebut, dan durasi panggilan agregat untuk satu hari atau satu bulan,” demikian bunyi pengungkapan tersebut.
Dengan kata lain, para peretas tampaknya telah mencuri data yang sepenuhnya anonim. Namun, data tersebut tidak perlu tetap anonim untuk waktu yang lama. Ini adalah sesuatu yang diakui AT&T dalam pengungkapannya: “Meskipun data tersebut tidak menyertakan nama pelanggan, sering kali ada cara, menggunakan alat daring yang tersedia untuk umum, untuk menemukan nama yang terkait dengan nomor telepon tertentu,” perusahaan itu mengakui dengan malu-malu.
Setelah peretas berhasil mendeanonimkan nomor Anda dan mengetahui siapa Anda, secara hipotetis mereka dapat melakukannya dengan nomor-nomor yang pernah Anda hubungi, sehingga mereka dapat memahami jaringan orang-orang di sekitar Anda dan hubungan Anda dengan mereka. Dengan kata lain, apa yang AT&T akui tanpa mengatakannya secara terbuka adalah bahwa pelanggaran ini sangat mengerikan.
Di web gelap, data semacam ini diperdagangkan dan dapat dikompilasi dengan informasi pelanggaran lainnya untuk membuat berkas yang cukup komprehensif tentang orang-orang tertentu. Namun, menurut AT&T, perusahaan tersebut mengatakan bahwa “mereka tidak yakin bahwa data tersebut tersedia untuk umum,” yang merupakan cara yang sangat samar untuk mengungkapkannya.
“AT&T bekerja sama dengan penegak hukum dalam upayanya untuk menangkap mereka yang terlibat dalam insiden tersebut. Berdasarkan informasi yang tersedia bagi AT&T, diketahui bahwa setidaknya satu orang telah ditangkap,” ungkap perusahaan tersebut dalam pengajuannya.
Pengungkapan pelanggaran tersebut agak tertunda oleh Departemen Kehakiman, klaim AT&T. “Pada tanggal 9 Mei 2024, dan sekali lagi pada tanggal 5 Juni 2024, Departemen Kehakiman AS memutuskan bahwa…penundaan dalam memberikan pengungkapan publik dibenarkan,” demikian bunyi pengungkapan perusahaan tersebut.
Waktu terjadinya insiden peretasan ini aneh, mengingat pada bulan April, AT&T juga mengungkapkan pelanggaran data terpisah yang besar yang berdampak pada sebanyak 73 juta pelanggan. Sebagian besar pelanggan tersebut adalah mantan pelanggan, tetapi beberapa—bahkan 7,6 juta—adalah pelanggan saat ini. Pelanggaran data tersebut memang mencakup informasi identitas pribadi, termasuk nomor Jaminan Sosial, alamat email, nomor telepon, tanggal lahir, nomor akun AT&T, dan kode sandi AT&T.
Menurut kronologi AT&T sendiri, perusahaan tersebut mengungkapkan pelanggaran data besar-besaran yang mengerikan pada bulan April dan kemudian, seminggu kemudian, mengalami pelanggaran data besar-besaran yang mengerikan lagi. Jika ada bukti yang jelas dan nyata bahwa Anda harus beralih ke Verizon (atau mungkin membuang ponsel Anda dari jendela lantai tiga), ini pasti buktinya.
Gizmodo menghubungi AT&T untuk informasi lebih lanjut tentang kesalahan besar ini dan akan memperbarui cerita ini jika ada tanggapan.
