界面新闻记者 | 蔡星卓

界面新闻编辑 | 刘海川

“我们注意到许多AT&T的密码被泄露了，我们正在联系760万受影响的用户，并重置了他们的密码。”在美国电信巨头AT&T的官方网站上，该公司承认了用户数据泄漏的事实。

欧洲新闻电视台（Euronews）2024年4月1日的报道称，AT&T表示，受影响用户的泄密情况各不相同，此次泄露涉及的信息包括社会安全号码和密码（passcodes）。同时，用户的全名、电子邮件地址、邮寄地址、电话号码、出生日期和AT&T账号也可能遭到泄露。另据半岛电视台报道，还有超过6500万前用户的数据受到“攻击”，因此总计有约7300万账户受到影响。

从时间上来讲，本次泄漏的数据来自2019年及以前，大概率不包括财务信息或通话记录。AT&T表示，目前尚不清楚这些数据是泄漏自该公司还是其任何供应商，不过，他们已经与内部和外部网络安全专家展开了“强有力的调查”。

网络安全专家Troy Hunt在接受美联社采访时表示，虽然AT&T并未承认二者的关联，但此次泄漏事件与2021年AT&T的一起事件类似。2021年，据商业新闻网站Business Insider报道，一个黑客组织声称窃取了AT&T公司超过7000万用户的数据，这些数据包括用户的社会安全号码、出生日期和其他私人信息。并且，该组织试图在“暗网”（“暗网”指普通网民无法通过常规手段搜索访问的隐藏网络）上以100万美元的价格出售这个所谓的“数据库”。

AT&T是美国最大的移动和互联网服务提供商之一，据BBC的报道，AT&T的无线5G网络覆盖了美国约2.9亿人。近几年，这已不是AT&T第一次产生客户的信息泄漏问题，每一次的规模和影响各不相同。网络安全信息网站Firewall Times曾总结了AT&T数据泄漏的时间表，从2001年开始，截至2023年3月，这家公司共有9次与信息泄漏相关的事件。其中，至少三起信息泄漏事件与AT&T员工有关，至少两起跟第三方供应商有关。

与此同时，AT&T并不是美国唯一一家有泄露客户数据历史的电信公司。美国全国公共广播电台（NPR）称，这个问题在整个行业都很普遍。比如。2023年1月，跨国移动电话运营商T-Mobile称，身份不明者入侵了他们的网络，窃取了3700万用户的数据，包括地址、电话号码和出生日期。该公司此前曾表示，到2023年，它将花费1.5亿美元来加强其数据安全和其他技术。而刚刚过去的2024年2月，美国科技电信公司Verizon称，公司6.3万名员工的个人信息被泄漏，原因是“无意的泄漏”和“内部不法行为”。

2023年，网络情报公司Cyble曾发表文章说，自2023年1月，Cyble研究和情报实验室（Cyble Research and Intelligence Labs）观察到，黑客已将几家美国电信公司作为攻击目标，并且，很多数据泄漏都可以归因于第三方供应商。针对供应商、软件和托管服务提供商进行的第三方入侵引发了几起重大事件，包括2021年7月的Kaseya黑客攻击事件、2022年的美国高新技术公司Okta数据泄露事件，以及2022年通过第三方供应商Teqtivity泄露超7万名Uber员工数据的事件。

Cyble称，“这些第三方漏洞可能导致更大规模的供应链攻击，并在全球范围内影响更多的用户和实体”。文章还提到，在面对泄漏信息时，除了反应性措施，公司还应维护适当的政策和程序来主动防范威胁。

2023年12月，美国联邦通信委员会（FCC）更新了已有16年历史的数据泄漏通知规则，以确保电信供应商充分保护敏感的客户信息。这些规定旨在“让电话公司对保护敏感客户信息负责，同时使客户在数据泄漏的情况下能够保护自己”。FCC主席Jessica Rosenworcel在一份声明中说：“我们的手机现在非常了解我们去了哪里，以及我们是谁。我们需要制定规则，确保运营商保护我们的信息安全和网络安全。”

据数据统计公司Statista的信息，以2023年第一季度为例，全球共有超640万条数据记录被泄露，影响了数百万人。而到了2023年第四季度，这一数字达到了800万条。数据泄露事件有各种各样的后果，最常见的影响是经济损失和业务中断。

评估数据泄漏对公司的影响，全球企业数据泄露事件的平均成本为445万美元（超3200万元人民币），这包括检测、业务损失、违规后的响应和通知。其中，数据泄露的检测和升级是成本最高的部分。在众多国家中，美国的平均数据泄露损失最高，为948万美元（超6800万元人民币）。

至于什么样的数据更容易被泄露，数据显示，在2023年，全球组织中超过52%的数据泄露事件涉及客户个人身份信息，从而使其成为最常见的泄露数据类型。