Luismt94, CC BY-SA 4.0

上周末美国大型电信业者AT&T向当地证券交易委员会（SEC）呈交8-K表单，证实黑客在今年4月存取第三方云端平台的工作区，拷贝含有客户通话及短信交互记录的数据，该公司超过1亿名的用户几乎都受到影响，外传攻击者攻入云端大数据服务Snowflake，劫掠众多未激活多因素验证（MFA）的帐号而得逞，本周这起事故传出新的进展。

根据新闻网站Wired的报导，AT&T决定向黑客组织低头，支付赎金给黑客组织ShinyHunters的其中一名成员，以此条件促使对方删除所窃取到的数据。这名黑客向该媒体透露收款的加密货币钱包地址，以及向他付款的来源钱包地址。Wired使用区块链追踪工具进行验证，上述两个加密货币钱包在5月17日出现一笔约为5.7个比特币的交易款项。加密货币追踪业者TRM Labs也证实这笔交易，他们看到金额约为5.72个比特币，当时交易金额相当于373,646美元。随后黑客经由数个加密货币交易所及钱包洗钱，但钱包的所有者身分目前仍不得而知。

使用ID为Reddington的人士也证实有此交易，因为黑客请他当双方谈判的中间人，这名人士收到AT&T支付的费用，他向该媒体提供收款数据证明此事。并指出黑客原本向AT&T索讨100万美元赎金，在讨价还价后以约37万美元的金额达成共识。

黑客也通过这名人士提供AT&T删除窃得数据的视频作为证据，Wired向该电信业者进一步确认是否真有其事，但并未得到回应。究竟黑客是否真的删除手上的数据，也不得而知。

值得留意的是，AT&T很有可能经由Reddington居中协商，而辗转得知数据外泄的情况。

此人透露自己是在今年4月中旬卷入这起事故，先收到住在土耳其的美国黑客John Erin Binns的通知，声称握有他的AT&T联系历史数据，Reddington进行比对之后，确认黑客提供的是真实数据，对方后来向他宣称，手上还有数百万个AT&T客户的通话及短信文本记录，而这些数据的来源，就是由Snowflake代管、安全性不足的云存储帐号。

不过，他也提及收取赃款的黑客并非John Erin Binns，而是另有其人。

在得知上述情形之后，Reddington向资安业者Mandiant通报此事，Mandiant再通知AT&T。而AT&T在呈报给美国证券交易所的数据当中，提及得知数据外泄的情况在今年4月，时间点也与Reddington的说法相符。

但近期因Snowflake帐号保护不够安全而遭黑客闯入，导致数据外泄的企业组织，并非只有AT&T。上个月资安业者Mandiant透露，今年4月开始，他们陆续收到使用Snowflake的企业组织受害的情况，截至6月上旬，他们向165个疑似受害的组织进行通报。而目前被公开的受害企业，还包括Ticketmaster、桑坦德银行、LendingTree，以及Advance Auto Parts。

根据Reddington的了解，这波攻击第一个受害的很可能是Ticketmaster，之后黑客向其他Snowflake用户下手。

向AT&T收下赎金的黑客向Wired透露，这起攻击事故是John Erin Binns所为，该名美国黑客号称取得数十亿笔记录，并在窃得相关数据并与其他人分享。Reddington认为，这些黑客应该没有对外公开相关数据，但他不确定John Erin Binns向多少人分享部分内容，以及得到数据的黑客是否用于不法。

为何该电信业者并未直接付款给John Erin Binns？负责收款的黑客指出，因为这名黑客今年5月在土耳其遭到逮捕，原因是他曾在2021年对另一家电信业者T-Mobile窃取大量数据。而这样的说法，与AT&T通报美国证券交易所的内容有交集，因为该公司也提及至少有1名涉案黑客遭到逮捕。新闻媒体404 Media指出，这名被捕的黑客就是John Erin Binns。

针对这些线索，Wired推测，John Erin Binns可能得知自己即将因窃取T-Mobile数据遭到逮捕，才承认AT&T数据外泄事故是他所犯下。