Les comptes mail d’AT&T sont visés par un groupe de pirates depuis quelques semaines. Les victimes ont vu notamment leurs portefeuilles crypto touchés par cette attaque. Les faits ont depuis été confirmés par l’entreprise.
Une faille liée aux clés de messagerie
Les premières attaques remontent au début du mois et elles visent les adresses att.net, sbcglobal.net, bellsouth.net ainsi que d’autres services mail AT&T. L’information a d’ailleurs été révélée par une source anonyme qui s’est confiée au média TechCrunch. Selon cette source, les pirates ont réussi leur coup en accédant à une partie du réseau interne d’AT&T.
Cela leur permettrait donc de créer des clés de messagerie pour tous les utilisateurs. Il est à préciser que les clés de messagerie constituent un système d’identification propre à AT&T. Ce sont généralement des informations spécifiques qui aident les utilisateurs à accéder à leurs comptes sans entrer de mot de passe. Ils peuvent ainsi gérer leurs adresses mail via des applications de messagerie comme Outlook ou Thunderbird.
Avec cette clé de messagerie, les pirates peuvent donc facilement accéder aux comptes de leurs victimes. Ensuite, ils procèdent à la réinitialisation des mots de passe liés aux services lucratifs comme les plateformes de cryptomonnaie. Selon l’informateur, ce stratagème aurait permis aux pirates de voler entre 15 et 20 millions de dollars en crypto.
Que dit l’AT&T ?
L’AT&T a confirmé un problème de sécurité par le biais de son porte-parole Jim Kimberly. Celui-ci déclare notamment que la société “a identifié la création non autorisée de clés de messagerie sécurisées”. Il affirme également que des mesures ont été prises pour faire face à cette attaque.
« Nous avons mis à jour nos contrôles de sécurité pour empêcher cette activité. Par mesure de précaution, nous avons également exigé de manière proactive une réinitialisation du mot de passe sur certains comptes de messagerie » a-t-il déclaré.
De plus, Jim Kimberley confirme que les clés de messageries créées par les pirates ont toutes été effacées. Par contre, l’AT&T n’a pas voulu avancer de nombre précis concernant les victimes de cette opération de piratage.
Les témoignages abondent
Hormis les confidences de la source anonyme, d’autres témoignages ont été recueillis. En effet, de nombreux utilisateurs AT&T affirment avoir été piratés. Une victime aurait même confirmé un vol de 134000 $ sur son compte Coinbase. De plus, des témoignages identiques circulent sur Reddit.
En outre, une capture d’écran des conversations de l’un des pirates serait parvenue au média TechCrunch. Dans cet échange provenant de Telegram, le pirate prétend que le groupe “a toute la base de données des employés d’AT&T”. Cela leur permettrait ainsi d’accéder à un portail interne réservé aux employés.
Sur les captures, le pirate déclare également qu’il leur manque seulement un certificat ‘’qui est la dernière clé pour accéder aux serveurs VPN [AT&T]”. L’informateur affirme par contre que les pirates avaient déjà accès au VPN interne de l’entreprise. Toutefois, le porte-parole d’AT&T nie toute intrusion dans les systèmes internes de l’entreprise. Selon lui, les pirates auraient exploité un accès API pour réaliser leur forfait.