La divulgación de AT&T del 30 de marzo de 2024 convirtió un conjunto de datos largamente disputado en un incidente de seguridad de cuentas de clientes. AT&T dijo que el análisis preliminar mostró que los registros parecían ser de 2019 o antes y afectaron a aproximadamente 73 millones de titulares de cuentas actuales y antiguos: alrededor de 7,6 millones de cuentas actuales y 65,4 millones de cuentas antiguas. La compañía dijo que no tenía evidencia de acceso no autorizado a sus sistemas y que todavía estaba evaluando si los datos se originaron en AT&T o en uno de sus proveedores.
El riesgo de control de cuentas reside en las categorías de datos. AP informó que la información expuesta podría incluir números de Seguro Social, códigos de acceso, direcciones de correo electrónico y postales, números de teléfono y fechas de nacimiento, mientras que AT&T dijo que los datos no parecían incluir información financiera ni historial de llamadas. Los códigos de acceso son importantes porque son PIN de cuenta utilizados para el servicio al cliente, la gestión minorista de cuentas y el acceso a cuentas en línea.
AT&T dijo que restableció los códigos de acceso para los 7,6 millones de clientes actuales cuyos códigos se vieron comprometidos.
El registro de la notificación estatal enfoca el ángulo de protección al consumidor. La notificación del Fiscal General de Maine enumera la presentación de AT&T con 51,226,382 personas afectadas en total para ese aviso, 89,842 residentes de Maine afectados, el 26 de marzo de 2024 como la fecha de ocurrencia y descubrimiento listada, el 10 de abril de 2024 como la fecha de notificación por escrito a los consumidores, el número de Seguro Social como categoría de datos adquiridos y 12 meses de Experian IdentityWorks ofrecidos.
Esa presentación no reemplaza la estimación de AT&T de 73 millones de titulares de cuentas; muestra la superficie de notificación regulatoria vinculada a información personal sensible.
La incertidumbre debe permanecer visible. BleepingComputer informó que los datos se asemejaban a un conjunto de datos más antiguo previamente anunciado en 2021, mientras que Reuters informó la posición de AT&T de que el incidente no había tenido un impacto material en las operaciones. El registro público respalda el alcance de los titulares de cuentas, el restablecimiento de códigos de acceso, el riesgo de datos sensibles y la respuesta de notificación. No prueba un actor de amenaza específico, la ruta exacta de acceso inicial, la responsabilidad del proveedor, el nivel final de uso indebido o un resultado de ejecución regulatoria.

