AT&Ts Datendiebstahl: Ursprüngliche Meldung von 73 Millionen Betroffenen könnte nur 51 Millionen betreffen, bleibt aber dennoch eine schlechte Nachricht für betroffene Kunden

Der jüngste Datendiebstahl bei AT&T weicht von den ursprünglichen Schätzungen ab. Der Telekommunikationsriese teilte der Generalstaatsanwaltschaft des Staates Maine mit, dass die Auswirkungen nun vermutlich mehr als 51 Millionen Menschen betreffen, was eine deutliche Reduzierung gegenüber den zuvor genannten 73 Millionen darstellt . Der Datendiebstahl, der erstmals Mitte März angedeutet wurde, als Berichte über das Auftauchen von AT&T-Daten im Darknet auftauchten, dauerte etwa zwei Wochen, bis AT&T bestätigte, dass es sich um authentische Kundeninformationen handelte.

Am Osterwochenende gab AT&T bekannt, dass die durchgesickerten Daten offenbar rund 7,6 Millionen aktuelle Kunden und etwa 65,4 Millionen ehemalige Kunden betreffen. Diese Daten, die angeblich aus dem Jahr 2019 oder früher stammen, wurden zunächst als potenziell kompromittierende Daten nur für Sozialversicherungsnummern bezeichnet. Spätere Mitteilungen von AT&T an die betroffenen Personen haben jedoch ein breiteres Spektrum kompromittierter Informationen beschrieben, darunter vollständige Namen, E-Mail- und Postadressen, Telefonnummern, Geburtsdaten, Sozialversicherungsnummern sowie AT&T-Kontonummern und Passwörter.

Die aktualisierte Offenlegung von AT&T, die nun eine größere Anzahl kompromittierter persönlicher Informationen umfasst, deutet auf potenziell schwerwiegendere Auswirkungen hin als zunächst angenommen. Das Unternehmen hat jedoch versichert, dass persönliche Finanzinformationen und Anruflisten nicht Teil des Datendiebstahls waren. Die Enthüllung gegenüber der Generalstaatsanwaltschaft von Maine, dass die Auswirkungen auf über 51 Millionen Personen reduziert wurden, deutet darauf hin, dass AT&T möglicherweise Maßnahmen ergriffen hat, um doppelte oder ungenaue Datensätze aus der durchgesickerten Datenbank auszusortieren.

Der Ursprung der Daten, die Berichten zufolge seit 2021 online im Umlauf sind, bleibt ein Rätsel, da AT&T bestreitet, dass sie aus ihren Systemen stammen. Als Reaktion auf den Verstoß wird den betroffenen Kunden ein Jahr lang kostenlose Kreditüberwachung und Schutz vor Identitätsdiebstahl angeboten, eine Maßnahme, die darauf abzielt, den potenziellen Schaden durch die kompromittierten Daten zu mildern.

Dieser Vorfall ist nicht die erste Sicherheitsverletzung bei AT&T. Im März 2023 informierte das Unternehmen 9 Millionen Mobilfunkkunden über eine Verletzung ihrer kundeneigenen Netzwerkinformationen (CPNI) bei einem Drittanbieter. Diese aufeinanderfolgenden Verstöße unterstreichen die anhaltenden Herausforderungen, vor denen Unternehmen beim Schutz sensibler Kundendaten in einer zunehmend vernetzten digitalen Landschaft stehen.