Esclusiva: gli hacker trapelano 86 milioni di record AT&T con codici di previdenza sociale decrittati

Gli hacker hanno fatto trapelare quello che sostengono essere il database di AT&T, che sarebbe stato rubato dal gruppo ShinyHunters nell'aprile 2024 dopo aver sfruttato importanti falle di sicurezza nella piattaforma dati cloud Snowflake.

Come osservato dal team di ricerca di Hackread.com, i dati sono stati pubblicati per la prima volta su un noto forum russo dedicato alla criminalità informatica il 15 maggio 2025. Sono stati poi ricaricati sullo stesso forum il 3 giugno 2025, per poi iniziare a circolare tra altri hacker e forum.

Dopo aver analizzato i dati trapelati, abbiamo scoperto che contengono un insieme dettagliato di informazioni personali. Ciascuno di questi dati rappresenta di per sé un grave rischio per la privacy, ma insieme creano profili di identità completi che potrebbero essere sfruttati per frodi o furti di identità . I ​​dati includono:

• 44 milioni di numeri di previdenza sociale (SSN) (43.989.219 in totale)

Ecco la parte preoccupante: l'autore della minaccia afferma che sia la data di nascita che il codice fiscale (SSN) erano originariamente crittografati, ma che in seguito sono stati completamente decrittografati e ora sono inclusi nei dati trapelati come testo normale. In parole povere, se sei un cliente AT&T, il tuo codice fiscale potrebbe essere coinvolto in questa fuga di notizie.

Non che cambi molto: è probabile che i tuoi codici fiscali fossero già stati divulgati durante la violazione dei dati pubblici nazionali dell'agosto 2024, in cui degli hacker , ora arrestati , che utilizzavano l'alias USDOD, hanno fatto trapelare online oltre 3,2 miliardi di codici fiscali e altri dati personali.

AT&T ha una lunga storia di violazioni di dati su larga scala, quindi se questo vi sembra familiare, non ve lo state immaginando. Allacciate le cinture, questa è solo l'ultima di una lista in continua crescita.

Nell'aprile 2024, come riportato da Hackread.com , AT&T ha subito una grave violazione dei dati quando gli hacker hanno avuto accesso al suo ambiente cloud Snowflake, compromettendo i metadati delle chiamate e dei messaggi di testo di quasi 110 milioni di clienti.

La violazione è durata da maggio 2022 a ottobre 2022 e ha coinvolto alcuni record di gennaio 2023, numeri di telefono esposti, conteggi delle interazioni e durate delle chiamate, ma non il contenuto delle comunicazioni o informazioni personali identificabili.

L'attacco informatico faceva parte di una campagna su larga scala che ha preso di mira oltre 160 clienti Snowflake . Gli hacker hanno sfruttato credenziali rubate prive di autenticazione a più fattori per infiltrarsi in questi ambienti.

I dati compromessi di AT&T sono stati rubati da un hacker associato al gruppo ShinyHunters. I rapporti indicano che AT&T ha pagato un riscatto di circa 370.000 dollari in Bitcoin per la cancellazione dei dati rubati, una transazione facilitata tramite un intermediario noto come Reddington.

Vale la pena notare che il gruppo ShinyHunters si è anche attribuito il merito della grave violazione dei dati di Ticketmaster collegata alla falla di sicurezza di Snowflake, in cui i dati di 560 milioni di utenti sono stati messi in vendita online.

In risposta alla violazione, AT&T ha avviato una procedura di risposta agli incidenti con esperti di sicurezza informatica terzi, ha chiuso il punto di accesso non autorizzato e ha informato i clienti interessati. L'azienda ha dichiarato di non ritenere che i dati siano di dominio pubblico.

La violazione ha suscitato l'attenzione dei legislatori statunitensi, con i senatori Richard Blumenthal e Josh Hawley che hanno chiesto spiegazioni ad AT&T e Snowflake in merito alle falle nella sicurezza che hanno portato all'incidente. Hanno espresso preoccupazione per l'uso improprio dei dati compromessi da parte di malintenzionati.

L'autore della minaccia dietro l'ultima fuga di notizie sostiene che il database contenga 70 milioni di record di clienti AT&T rubati nell'aprile 2024 sfruttando una grave vulnerabilità di sicurezza nel data warehouse cloud Snowflake.

"In origine uno dei database della violazione di Snowflake, ecco il backup che ho creato", ha dichiarato l'account dietro la fuga di dati. Ma questa affermazione è vera? Non proprio.

L'analisi di Hackread.com rivela che il dataset include in realtà oltre 88 milioni (88.320.018) record. Dopo aver rimosso i duplicati, il numero scende a oltre 86 milioni (86.017.090) di voci uniche, ben oltre i 70 milioni dichiarati.

C'è un altro problema. Il contenuto del database non corrisponde esattamente a quanto riportato nella violazione di AT&T relativa a Snowflake. Tale violazione avrebbe esposto quasi 110 milioni di dati dei clienti, inclusi metadati di chiamate e messaggi; nessuno dei quali appare in questa nuova fuga di notizie.

Quindi, si tratta di un database AT&T parziale relativo alla violazione di Snowflake? Forse sì, forse no. Ma a meno che AT&T non lo confermi ufficialmente, non c'è modo di dirlo con certezza.

Nell'agosto 2021, il famigerato gruppo di hacker ShinyHunters ha affermato di possedere un database contenente le informazioni personali di oltre 70 milioni di clienti AT&T . Ha messo in vendita questi dati sul marketplace Raid Forums, ora sequestrato , a partire da 200.000 dollari.

Hackread.com ha esaminato i dati campione forniti dal gruppo nel 2021, che includevano nomi completi, indirizzi, codici postali, date di nascita, indirizzi email e numeri di previdenza sociale (SSN) crittografati. AT&T ha risposto affermando che, in base alle loro indagini, le informazioni non sembravano provenire dai loro sistemi.

Tuttavia, nell'aprile 2024, dopo quasi due anni di smentite, AT&T ha ammesso la violazione dei dati dell'agosto 2021, quando ShinyHunters ha diffuso l'intero database su BreachForums. "In base alla nostra analisi preliminare, il set di dati sembra risalire al 2019 o a un periodo precedente, interessando circa 7,6 milioni di attuali titolari di account AT&T e 65,4 milioni di ex titolari di account", ha ammesso l'azienda.

Hackread.com ha notato diverse somiglianze e differenze tra la fuga di notizie AT&T dell'aprile 2024 e quella più recente. La fuga di notizie dell'aprile 2024 era un caos mal strutturato. I dati apparivano in un formato poco organizzato, delimitato da barre verticali, senza etichette di campo, il che ne rendeva difficile l'interpretazione o l'analisi senza uno schema corrispondente che spiegasse ciascun valore.

L'ultima fuga di notizie è ben strutturata, formattata in modo chiaro e suddivisa in tre file CSV, rendendo semplice la comprensione del significato di ciascun campo. È interessante notare che la principale somiglianza, e al tempo stesso differenza, tra le due fughe di notizie riguarda la gestione dei numeri di previdenza sociale (SSN). Nella fuga di notizie del 2024, i SSN erano crittografati. Nell'ultima fuga di notizie, tuttavia, gli stessi SSN sembrano essere stati decifrati.

Hackread.com ha condotto un'analisi dettagliata e ha scoperto che tutti i codici di previdenza sociale precedentemente crittografati dalla fuga di notizie precedente sono stati attentamente decifrati e mappati nel nuovo set di dati, rendendoli più accessibili a usi dannosi.

Abbiamo anche trovato nomi di clienti, indirizzi email, indirizzi fisici e numeri di telefono corrispondenti in entrambe le fughe di dati. Tuttavia, mentre la fuga di dati del 2024 conteneva circa 73 milioni di record, il dataset più recente ne include 86 milioni.

Ciò rende poco chiaro se la nuova fuga di notizie riguardi semplicemente il database del 2024 con i valori decriptati o se derivi dalla più recente violazione relativa a Snowflake. Detto questo, i dati sembrano legittimi, soprattutto perché AT&T ha già riconosciuto la precedente violazione e la fuga di dati.

A questo punto, è difficile stabilire con certezza se il database appena trapelato sia una versione decifrata della violazione di Snowflake del 2024, un dump separato o una combinazione di entrambi. Ciò che è chiaro, tuttavia, è che un'enorme quantità di dati altamente sensibili dei clienti AT&T sta di nuovo circolando, questa volta in una forma più organizzata e potenzialmente più pericolosa.

Con i numeri di previdenza sociale decriptati, dati personali completi e un crescente numero di esposizioni ripetute, la posta in gioco per gli utenti interessati è più alta che mai. Sebbene AT&T abbia riconosciuto le violazioni passate, l'azienda non ha ancora confermato se questo ultimo set di dati faccia parte dello stesso incidente o di qualcosa di completamente nuovo.

Fino a quando non verrà fornita una risposta formale, purtroppo, i clienti ignari saranno lasciati all'oscuro, affidandosi al nostro rapporto e ai forum per comprendere la portata della loro esposizione. Ciononostante, abbiamo contattato AT&T e questo articolo verrà aggiornato di conseguenza.