第三方廠商被駭導致AT&T 900萬用戶個資外洩

美國電信龍頭AT&T上周證實，由於該公司使用的第三方服務被駭，致使近900萬用戶個資被竊取。

AT&T一名用戶上周接到電子郵件通知，該公司發生了一起資安事件，使其客戶專屬網路資訊（Customer Proprietary Network Information，CPNI）被不明人士存取。用戶詢問下，AT&T證實這的確是來自該公司的通知函。

CPNI是指電信業者蒐集關於消費者通話的資料，包括他們訂閱的服務有哪些，例如有哪些門號、現有收費方案、使用量資料，以及通話模式等。美國電信主管機關聯邦通訊委員會（Federal Communication Commission，FCC）去年1月新法規要求電信業者需在CPNI外洩事故發生後7天內通知客戶，此外也需通報FBI、特勤局及FCC。

AT&T上周向媒體證實此事。AT&T解釋，該公司使用的第三方行銷系統廠商發生安全事件，導致部份無線服務帳號曝險。AT&T表示，外洩的資料已經是多年前的資料，且大部份是和裝置升級資格有關的資料。這家電信業者也說CPNI資料不包含敏感個人或財務資訊，像是社會安全碼或信用卡資料。

但《BleepingComputer》引述AT&T的說法指出，將近900萬無線/行動帳號用戶的CPNI遭到存取，外洩資料還包括用戶名字、無線/行動帳號碼、手機號碼及電子郵件。

AT&T說，目前第三方廠商已修補好漏洞，該公司也已通知執法機關。但該公司不願說明是哪家第三方服務業者被駭。

這是AT&T兩年來第二次大宗用戶個資外洩。去年該公司坦承一個包含2,300萬美國民眾社會安全碼的資料庫被竊，但否認是公司自有系統被駭，而可能是和之前另一宗案件外洩的資訊有關。