Los ciberdelincuentes explotaron una debilidad en la API de AT&T para comprometer sus servicios
Según una fuente anónima, los servicios de AT&T se ven comprometidos a principios de abril, lo que resultó en el pirateo de las direcciones de correo electrónico de los usuarios y la pérdida de millones de dólares en criptomonedas. Los ciberdelincuentes explotaron una debilidad en la API de AT&T. A través de ella, acceder a las direcciones de correo electrónico de los clientes. Este robo de direcciones, les dió acceso a multiples cuentas así como a sus cuentas de intercambio de criptomonedas, agotando sus fondos. Los clientes con direcciones de correo electrónico de AT&T, incluyendo sbcglobal.net, bellsouth.net y att.net, han sido afectados.
Según la fuente anónima, los hackers pudieron acceder a las cuentas de correo electrónico de AT&T porque tenían acceso a una sección de la red interna de AT&T. Esto les permitió crear claves de acceso al correo para cualquier usuario. Estas claves de correo son identificaciones especiales que permiten a los usuarios de correo electrónico de AT&T acceder a sus correos electrónicos a través de aplicaciones como Outlook y Thunderbird sin necesidad de utilizar sus contraseñas.
Los hackers utilizaron estas claves privadas para acceder a las cuentas y restablecer las contraseñas de las cuentas conectadas a las plataformas de intercambio de criptomonedas. Una vez que cambiaron las contraseñas, los hackers pudieron acceder a cualquier billetera vinculada y a las claves privadas de criptografía.
¿Fue a través de una API o un fallo de VPN?
Jim Kimberly, portavoz de AT&T, ha confirmado que la compañía detectó un compromiso y la creación de claves de correo no autorizadas. Sin embargo, no especificó si se debió a un acceso no autorizado a través de una API o un compromiso interno de VPN. Afirmó que la compañía actualizó sus medidas de seguridad y estableció un aviso para que algunos usuarios restablezcan sus contraseñas de correo electrónico.
En cambio, no existe información sobre la cantidad de usuarios afectados y asegura que todas las claves de correo generadas por los hackers se han eliminado.
Si los servicios de AT&T se ven comprometidos de forma recurrente y aseguran que no es la primera vez, la empresa debería revisar al detalle todos sus sistemas o incluso reconstruirlos de nuevo.
Uno de los afectados declaró haber perdido $134,000 de su cuenta de Coinbase. Mientras que otro afirmó que los ataques habían estado en curso desde noviembre de 2022, con alrededor de diez incidentes hasta el momento.
Según una víctima, los hackers parecían tener acceso directo a los archivos y bases de datos de AT&T que contenían las claves de los clientes. Varios usuarios de AT&T también manifestaron su preocupación en Reddit y admitieron haber sido víctimas de piratería de distintas formas.
Por su parte, la fuente anónima afirmó que los ciberdelincuentes tenían acceso a la VPN interna de AT&T. Sin embargo, el portavoz de AT&T negó que los hackers hubieran accedido a los sistemas internos de la compañía e insistió en que utilizaron el acceso a la API.
Puedes seguir toda la actualidad diaria en nuestra sección de noticias.