Les cybercriminels ont réussi à s’introduire dans les comptes de messagerie des utilisateurs et à siphonner des milliers de dollars de crypto-monnaies. Cela a été rendu possible par une API du service de télécommunications américain AT&T, qui n’était pas suffisamment protégée contre les accès non autorisés. Les adresses e-mail liées aux domaines AT&T tels que sbcglobal.net, bellsouth.net et att.net ont été affectées. Étonnamment, les victimes avaient activé l’authentification à deux facteurs (2FA) pour plus de sécurité.
2FA vise à garantir que seuls les propriétaires du facteur supplémentaire peuvent accéder au service de messagerie. Les logiciels plus anciens ne prennent pas en charge 2FA, ce qui rend difficile la protection de l’accès IMAP et d’autres services qui utilisent encore un nom d’utilisateur et un mot de passe. Par conséquent, les hébergeurs de messagerie offrent la possibilité de créer des mots de passe spécifiques à l’application pour limiter l’accès aux e-mails uniquement.
Les attaquants ont contourné l’API d’AT&T qui permet la création de tels mots de passe spécifiques à l’application, appelés “clés sécurisées de messagerie”, et ont scanné et accédé aux comptes de messagerie concernés. Ils pourraient ensuite réinitialiser les mots de passe pour des services précieux comme les échanges de crypto-monnaie comme Coinbase et Gemini.
En particulier, un porte-parole d’AT&T a confirmé que des clés de messagerie sécurisées non autorisées étaient en cours de création et a déclaré que la société avait mis à jour ses mesures de sécurité pour empêcher une telle activité. De plus, il réinitialise de manière proactive les mots de passe de comptes de messagerie spécifiques et efface toutes les clés de messagerie sécurisées créées.
Techcrunch rapporte que les attaquants prétendent disposer de la base de données complète des employés d’AT&T, ce qui leur donnerait accès aux portails internes de l’entreprise. Un pronostiqueur a déclaré à TechCrunch que les attaquants avaient accès au VPN interne d’AT&T, ce que le porte-parole nie.
L’incident a de nouveau mis en évidence la nécessité de pratiques de cyber-hygiène robustes, notamment en choisissant des mots de passe complexes, en évitant de partager des informations sensibles comme les mots de passe et en mettant en œuvre une authentification multifacteur pour tous les comptes.
