AT&T räumte ein, dass ein online kursierendes Datenleck Informationen von mehr als 7,6 Millionen aktuellen Kunden und 65 Millionen ehemaligen Kunden enthielt. Das Unternehmen hat die Sicherheitscodes der betroffenen aktiven Kunden zurückgesetzt und sagt, dass die offengelegten Informationen „den vollständigen Namen, die E-Mail-Adresse, die Postanschrift, die Telefonnummer, die Sozialversicherungsnummer, das Geburtsdatum, die AT&T-Kontonummer und den Zugangscode umfassen können.“
AT&T kontaktiert betroffene Kunden per „E-Mail oder Brief“, um ihnen mitzuteilen, welche Daten enthalten waren und was das Unternehmen als Reaktion darauf für die Kunden tut.
Die Anerkennung der Echtheit der durchgesickerten Daten durch das Unternehmen (die ersten Berichte über das Leck wurden im Jahr 2021 veröffentlicht) erfolgte erst später TechCrunch informierte AT&T am Montag über die Schwachstelle seiner verschlüsselten Passwörter. Bei Passcodes handelt es sich in der Regel um vierstellige numerische PINs, die zur Kontosicherheit bei Telefongesprächen mit dem Unternehmenssupport oder zur Verifizierung im Geschäft verwendet werden. Die Analyse eines Sicherheitsforschers ergab, dass die Passcodes „einfach zu knacken“ seien.
In dieser FAQ heißt es, dass Kunden kostenlose Betrugswarnungen der Kreditauskunfteien Equifax, Experian und TransUnion einrichten können. Laut AT&T scheint der Datensatz „aus dem Jahr 2019 oder früher zu stammen und enthält keine persönlichen Finanzinformationen oder Anruflisten“. Das Unternehmen sagt, es arbeite mit „externen Cybersicherheitsexperten zusammen, um die Situation zu analysieren“ und habe bisher keine „Beweise für einen autorisierten Zugriff“ auf seine Systeme.