La divulgation d'AT&T du 30 mars 2024 a transformé un ensemble de données longtemps contesté en un incident de sécurité des comptes clients. AT&T a déclaré que l'analyse préliminaire montrait que les enregistrements semblaient dater de 2019 ou avant et affectaient environ 73 millions de titulaires de comptes actuels et anciens: environ 7,6 millions de comptes actuels et 65,4 millions d'anciens comptes. L'entreprise a indiqué ne pas avoir de preuve d'accès non autorisé à ses systèmes et évaluait encore si les données provenaient d'AT&T ou de l'un de ses fournisseurs.

Le risque lié au contrôle des comptes réside dans les catégories de données. AP a rapporté que les informations exposées pouvaient inclure des numéros de sécurité sociale, des codes d'accès, des adresses e-mail et postales, des numéros de téléphone et des dates de naissance, tandis qu'AT&T a déclaré que les données ne semblaient pas contenir d'informations financières ni d'historique d'appels. Les codes d'accès sont importants car ce sont des codes PIN utilisés pour le support client, la gestion de compte en magasin et l'accès en ligne.

AT&T a annoncé avoir réinitialisé les codes d'accès pour les 7,6 millions de clients actuels dont les codes ont été compromis.

Le dossier de notification d'État précise l'angle de protection des consommateurs. L'avis du procureur général du Maine mentionne le dépôt d'AT&T avec 51 226 382 personnes au total affectées pour cet avis, 89 842 résidents du Maine touchés, le 26 mars 2024 comme date de survenance et de découverte, le 10 avril 2024 comme date de notification écrite aux consommateurs, le numéro de sécurité sociale comme catégorie de données acquises et 12 mois d'Experian IdentityWorks offerts.

Ce dépôt ne remplace pas l'estimation d'AT&T de 73 millions de titulaires de comptes; il montre la surface de notification réglementaire liée aux informations personnelles sensibles.

L'incertitude doit rester visible. BleepingComputer a rapporté que les données ressemblaient à un ancien ensemble de données précédemment annoncé en 2021, tandis que Reuters a rapporté la position d'AT&T selon laquelle l'incident n'avait pas eu d'impact matériel sur les opérations. Le dossier public confirme l'ampleur des titulaires de comptes, la réinitialisation des codes, le risque lié aux données sensibles et la réponse de notification.

Il ne prouve pas l'identité d'un acteur malveillant spécifique, la voie d'accès initiale exacte, la responsabilité du fournisseur, le niveau final d'utilisation abusive ou l'issue d'une mesure coercitive réglementaire.