Les pirates inconnus sont s’introduire dans les comptes de personnes qui ont des adresses e-mail AT&T, et utiliser cet accès pour ensuite pirater les comptes d’échange de crypto-monnaie de la victime et voler leur crypto, a appris fr.techtribune.net.

Au début du mois, une source anonyme a déclaré à fr.techtribune.net qu’un gang de cybercriminels avait trouvé un moyen de pirater les adresses e-mail de toute personne disposant d’une adresse e-mail att.net, sbcglobal.net, bellsouth.net et d’autres adresses e-mail AT&T.

Selon le pronostiqueur, les pirates sont capables de le faire car ils ont accès à une partie du réseau interne d’AT&T, ce qui leur permet de créer des clés de messagerie pour n’importe quel utilisateur. Les clés de messagerie sont des informations d’identification uniques que les utilisateurs de messagerie AT&T peuvent utiliser pour se connecter à leurs comptes à l’aide d’applications de messagerie telles que Thunderbird ou Outlookmais sans avoir à utiliser leurs mots de passe.

Avec la clé de messagerie d’une cible, les pirates peuvent utiliser une application de messagerie pour se connecter au compte de la cible et commencer à réinitialiser les mots de passe pour des services plus lucratifs, tels que les échanges de crypto-monnaie. À ce stade, la partie est terminée pour la victime, car les pirates peuvent alors réinitialiser le mot de passe du compte Coinbase ou Gemini de la victime par e-mail.

Le informateur a fourni une liste de victimes présumées. Deux des victimes ont répondu, confirmant qu’elles avaient été piratées.

Le porte-parole d’AT&T, Jim Kimberly, a déclaré que la société « a identifié la création non autorisée de clés de messagerie sécurisées, qui peuvent être utilisées dans certains cas pour accéder à un compte de messagerie sans avoir besoin d’un mot de passe ».

« Nous avons mis à jour nos contrôles de sécurité pour empêcher cette activité. Par mesure de précaution, nous avons également exigé de manière proactive une réinitialisation du mot de passe sur certains comptes de messagerie », a déclaré le porte-parole, obligeant les propriétaires du compte à réinitialiser leurs mots de passe.

AT&T a refusé de dire combien de personnes ont été touchées par cette vague de piratage. « Ce processus a effacé toutes les clés de messagerie sécurisées qui avaient été créées », a ajouté le porte-parole.

Une victime a déclaré à fr.techtribune.net que des pirates avaient volé 134 000 $ sur son compte Coinbase. La deuxième victime a déclaré que « cela s’est produit à plusieurs reprises depuis novembre 2022 – probablement 10 fois à ce stade. Je remarque que cela a été fait lorsque mon client Outlook ne parvient pas à se « connecter » et je me connecte rapidement à mon [AT&T] site et supprimez leur clé et créez-en une nouvelle.

« Très frustrant car il est évident que les » pirates « ont un accès direct à la base de données ou aux fichiers contenant ces clés Outlook client, et les pirates n’ont pas besoin de connaître la connexion au site Web AT&T de l’utilisateur pour accéder et modifier ces clés de connexion Outlook  » a ajouté la victime.

Aussi, plusieurs personnes avec AT&T et d’autres adresses e-mail associées a déclaré sur Reddit qu’ils avaient été piratés.

« Bonjour, mon e-mail a été compromis en mars de cette année et j’ai fait tout mon possible pour réinitialiser le mot de passe, les questions de sécurité, etc., mais parfois je reçois encore des e-mails indiquant qu’une clé de messagerie sécurisée a été créée sur mon compte à mon insu « , a écrit un utilisateur. « Ils supprimeraient même la notification par e-mail pour que je ne la voie pas, mais j’ai récemment changé pour un autre e-mail pour les mises à jour de profil afin qu’ils n’y aient pas accès. On dirait que quelqu’un a toujours accès à mon compte, mais comment ? »

Une autre personne a écrit: « J’ai le même problème depuis des mois et je viens de recommencer, le mot de passe n’a pas été changé mais le compte est verrouillé et une clé de messagerie continue d’être créée d’une manière ou d’une autre. »

Le pronostiqueur affirme que les pirates peuvent « réinitialiser n’importe quel » compte de messagerie AT&T et qu’ils ont gagné entre 15 et 20 millions de dollars en crypto volée. (fr.techtribune.net n’a pas pu vérifier de manière indépendante l’affirmation du pronostiqueur.)

fr.techtribune.net a vu une capture d’écran provenant apparemment d’un chat de groupe Telegram, où l’un des pirates prétend que le gang « a toute la base de données des employés d’AT&T », ce qui leur permet d’accéder à un portail interne d’AT&T pour les employés appelé OPUS.

« La seule chose qui nous manque, c’est un certificat, qui est la dernière clé pour accéder au [AT&T] Serveurs VPN », a écrit le pirate sur la chaîne Telegram, selon la capture d’écran.

Le pronostiqueur a déclaré que le gang avait désormais accès au VPN interne d’AT&T.

Kimberly, porte-parole d’AT&T, a nié que les pirates aient eu accès aux systèmes internes de l’entreprise. « Il n’y a eu aucune intrusion dans aucun système pour cet exploit. Les mauvais acteurs ont utilisé un accès API.

Avez-vous plus d’informations sur ces hacks contre les utilisateurs de messagerie AT&T ? Ou d’autres hacks similaires ? Nous aimerions recevoir de vos nouvelles. Vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Wickr, Telegram and Wire @lorenzofb, ou par e-mail lorenzo@techcrunch.com. Vous pouvez également contacter fr.techtribune.net via SecureDrop.