黑客泄露了8800万AT&T客户的SSN解密数据；最新的泄露事件引发了人们对其与早期Snowflake相关攻击之间的关联的质疑。

黑客泄露了他们声称属于AT&T的数据库，据报道，该数据库于2024年4月被ShinyHunters组织利用Snowflake云数据平台的重大安全漏洞窃取。但这真的就是与Snowflake相关的数据吗？我们进行了深入分析。

研究团队发现，这些数据于2025年5月15日首次发布在一个知名网络犯罪论坛上，并于2025年6月3日在同一论坛上重新上传，之后开始在其他黑客和论坛中流传。

在分析泄露的数据后，我们发现其中包含一系列详细的个人信息。这些数据点本身都构成了严重的隐私风险，而它们组合在一起，则构成了完整的身份档案，可能被用于欺诈或身份盗窃。这些数据包括：
1. 全名
2. 出生日期
3. 电话号码
4. 电子邮件地址
5. 物理地址
6. 4400万个社会安全号码(SSN)（总计43989219个）

令人不安的是：威胁者声称，出生日期和社会安全号码(SSN)最初都是加密的，但后来被完全解密，并以纯文本形式包含在泄露的数据中。简而言之，如果你是AT&T的客户，你的SSN可能就是此次泄露的一部分。

这并没有带来太大的变化；您的SSN很可能已经在2024年8月的国家公共数据泄露事件中暴露，当时一名现已被捕的黑客使用别名USDOD，在网上泄露了超过32亿个SSN和其他个人信息。

AT&T大规模数据泄露事件由来已久，所以如果你觉得这很熟悉，那不是你的错觉。系好安全带，这只是一个不断增长的案例中的最新一起。

2024年4月，据报道，AT&T遭遇重大数据泄露，黑客访问了其Snowflake云环境，泄露了近1.1亿客户的通话和文本元数据。

此次泄露事件从2022年5月持续到2022年10月，其中包括2023年1月的一些记录、泄露的电话号码、互动次数和通话时长，但不包括通信内容或个人身份信息。

此次网络攻击是针对160多名Snowflake客户的大规模攻击活动的一部分。黑客利用窃取的缺乏多因素身份验证的凭证渗透到这些环境。

AT&T的受损数据被一名与ShinyHunters组织有关联的黑客窃取。报告显示，AT&T支付了约37万美元的比特币赎金，以删除被盗数据，这笔交易通过一个名为Reddington的中间人完成。

值得注意的是，ShinyHunters集团还对与Snowflake安全漏洞相关的Ticketmaster重大数据泄露事件负责，此次事件中5.6亿用户的数据被在网上出售。

为了应对此次数据泄露，AT&T与第三方网络安全专家启动了事件响应流程，关闭了未经授权的接入点，并通知了受影响的客户。该公司表示，他们不认为这些数据是公开的。

此次数据泄露事件引发了美国议员的密切关注，参议员理查德·布卢门撒尔（Richard Blumenthal）和乔希·霍利（Josh Hawley）要求AT&T和Snowflake就导致此次事件的安全漏洞做出解释。他们对恶意行为者滥用泄露数据表示担忧。

最新泄密事件背后的威胁行为者声称，该数据库包含7000万条AT&T客户记录，这些记录于2024年4月被窃取，窃取者利用了Snowflake云数据仓库中的一个重大安全漏洞。

“最初是Snowflake数据泄露事件中的一个数据库，这是我创建的备份，”数据泄露事件背后的账户写道。但这种说法站得住脚吗？不完全是。

分析显示，该数据集实际上包含超过8800万条（88320018）条记录。删除重复项后，唯一记录数量降至超过8600万条（86017090），远超官方宣称的7000万条。

还有一个问题。此次数据库内容与与Snowflake相关的AT&T数据泄露事件中报告的内容并不完全一致。据报道，那次泄露事件暴露了近1.1亿条客户记录，其中包括通话和短信元数据；而这些记录在此次泄露事件中均未出现。

那么，这是否是Snowflake数据泄露事件中AT&T数据库的一部分呢？可能是，也可能不是。但除非AT&T官方确认，否则无法确定。

2021年8月，臭名昭著的黑客组织ShinyHunters声称拥有一个包含超过7000万AT&T客户个人信息的数据库。他们在现已查封的Raid Forums市场上以20万美元起价出售这些数据。

我们审查了该组织于2021年提供的样本记录，其中包括全名、地址、邮政编码、出生日期、电子邮件地址以及加密的社会安全号码(SSN)。AT&T回应称，根据他们的调查，这些信息似乎并非源自他们的系统。

然而，在否认了近两年之后，AT&T于2024年4月承认了2021年8月的数据泄露事件，当时ShinyHunters在BreachForums上泄露了完整的数据库。该公司承认：“根据我们的初步分析，该数据集似乎来自2019年或更早，影响了约760万AT&T现有账户持有人和6540万前账户持有人。”

我们注意到2024年4月AT&T数据泄露事件与最新一次泄露事件之间存在一些相似之处和差异。2024年4月的泄露事件结构混乱，数据结构松散，以竖线分隔，没有字段标签，如果没有相应的模式来解释每个值，就很难进行解读或分析。

最新泄露的数据结构清晰，格式清晰，并直接划分为三个CSV文件，方便用户理解每个字段的含义。有趣的是，两次泄露数据最大的相似之处和不同之处是对社会安全号码(SSN)的处理。在2024年的泄露中，SSN是加密的。然而，在最新泄露中，这些SSN似乎已被解密。

我们进行了详细的分析，发现之前泄露的所有加密的SSN均已在新的数据集中被仔细解密和映射，这使得它们更容易被恶意使用。

我们还发现两次泄密事件中，客户姓名、电子邮件地址、实际地址和电话号码都吻合。然而，2024年的泄密事件包含约7300万条记录，而最新的数据集则包含8600万条记录。

这使得我们无法确定新的泄露究竟是简单的2024年数据库解密值，还是源自最近与Snowflake相关的数据泄露事件。即便如此，这些数据看起来是合法的，尤其是在AT&T已经承认了之前的泄露事件和数据泄露之后。

“AT&T敏感记录最初的泄露事件足以让客户担忧，现在更是对他们的身份构成了重大风险，”Black Duck基础设施安全业务总监Thomas Richards表示。 “由于出生日期和社会安全号码(SSN)均被泄露，恶意行为者掌握了实施欺诈和冒充AT&T客户所需的所有信息。如果受影响的用户尚未收到通知，他们应该收到通知并积极监控自己的信用状况，以发现任何欺诈迹象。”

目前，很难确定新泄露的数据库是2024年Snowflake数据泄露事件的解密版本、单独泄露的数据，还是两者兼而有之。不过，可以肯定的是，大量高度敏感的AT&T客户数据再次流传，这一次的形式更有组织，也更危险。

随着社保号码被解密、个人信息被完整泄露，以及数据被反复泄露的现象日益猖獗，受影响用户的风险比以往任何时候都高。尽管AT&T承认过去存在数据泄露事件，但该公司尚未确认此次最新数据集是同一事件的一部分，还是全新的事件。

不幸的是，在正式回复发布之前，毫无戒心的用户只能依靠我们的报告和论坛来了解其受影响的范围。尽管如此，我们还是联系了AT&T，本文将进行相应更新。

AT&T对的询问做出了以下官方声明回应：

网络犯罪分子将先前披露的数据重新打包以获取经济利益的情况并不少见。我们刚刚获悉，AT&T的数据正在暗网论坛上出售，我们正在进行全面调查。---美国电话电报公司