Perusahaan telekomunikasi raksasa Amerika Serikat AT&T mengungkapkan adanya pelanggaran pada bulan Juli yang melibatkan log panggilan dan pesan teks selama enam bulan pada tahun 2022 dari “hampir semua” lebih dari 100 juta pelanggannya. Selain mengungkapkan rincian komunikasi pribadi untuk sejumlah individu Amerika, FBI telah waspada bahwa catatan panggilan dan pesan teks agennya juga termasuk dalam pelanggaran tersebut. Sebuah dokumen yang dilihat dan pertama kali dilaporkan oleh Bloomberg menunjukkan bahwa biro tersebut telah berusaha keras untuk mengurangi dampak potensial yang dapat mengarah pada pengungkapan identitas sumber anonim yang terhubung dengan penyelidikan.
Data yang diretas tidak mencakup konten panggilan dan pesan teks, tetapi Bloomberg melaporkan bahwa itu akan menunjukkan log komunikasi untuk nomor ponsel agen dan nomor telepon lain yang digunakan selama periode enam bulan. Tidak jelas seberapa luas data yang dicuri telah menyebar, jika sama sekali. WIRED melaporkan pada bulan Juli bahwa setelah peretas mencoba memeras AT&T, perusahaan membayar $370.000 dalam upaya untuk menghapus data yang dicuri. Pada bulan Desember, penyelidik AS menuntut dan menangkap seorang tersangka yang kabarnya berada di balik entitas yang mengancam akan bocor data yang dicuri.
FBI memberi tahu WIRED dalam sebuah pernyataan: “FBI terus menyesuaikan praktik operasional dan keamanan kami saat ancaman fisik dan digital berkembang. FBI memiliki tanggung jawab yang sakral untuk melindungi identitas dan keamanan sumber manusia rahasia, yang memberikan informasi setiap hari yang menjaga keselamatan rakyat Amerika, seringkali dengan risiko bagi diri mereka sendiri.”
Juru bicara AT&T Alex Byers mengatakan dalam sebuah pernyataan bahwa perusahaan “bekerja sama erat dengan penegak hukum untuk mengurangi dampak pada operasi pemerintah” dan menghargai “penyelidikan menyeluruh” yang mereka lakukan. “Dengan meningkatnya ancaman dari penjahat dunia maya dan aktor negara, kami terus meningkatkan investasi dalam keamanan serta memantau dan memperbaiki jaringan kami,” tambah Byers.
Situasi ini muncul di tengah pengungkapan terus menerus tentang kampanye peretasan yang berbeda yang dilakukan oleh kelompok mata-mata Salt Typhoon China, yang mengompromikan sejumlah perusahaan telekomunikasi AS, termasuk AT&T. Situasi terpisah ini mengungkapkan log panggilan dan pesan teks untuk sekelompok target tertentu yang tinggi, dan dalam beberapa kasus termasuk rekaman serta informasi seperti data lokasi.
Saat pemerintah AS berusaha menanggapi, satu rekomendasi dari FBI dan Badan Keamanan Siber dan Infrastruktur adalah bagi warga Amerika untuk menggunakan platform terenkripsi end-to-end—seperti Signal atau WhatsApp—untuk berkomunikasi. Signal khususnya hampir tidak menyimpan metadata tentang pelanggannya dan tidak akan mengungkapkan akun mana yang telah berkomunikasi satu sama lain jika diretas. Saran tersebut merupakan saran yang tepat dari sudut pandang privasi, tetapi sangat mengejutkan mengingat oposisi historis Departemen Kehakiman AS terhadap penggunaan enkripsi end-to-end. Namun, jika FBI telah berjuang dengan kemungkinan bahwa informan-informannya sendiri mungkin telah terungkap karena pelanggaran telekomunikasi baru-baru ini, perubahan sikap tersebut menjadi lebih masuk akal.
Jika agen mengikuti protokol komunikasi investigatif dengan ketat, log panggilan dan pesan teks AT&T yang dicuri seharusnya tidak menjadi ancaman besar, kata mantan peretas NSA dan wakil presiden riset Hunter Strategy Jake Williams. Prosedur operasi standar harus dirancang untuk mempertimbangkan kemungkinan bahwa log panggilan bisa dikompromi, katanya, dan harus meminta agen untuk berkomunikasi dengan sumber-sumber sensitif menggunakan nomor telepon yang belum pernah terhubung dengan mereka atau pemerintah AS. FBI bisa memberi peringatan tentang pelanggaran AT&T karena kehati-hatian berlebihan, kata Williams, atau mungkin telah menemukan bahwa kesalahan agen dan kesalahan protokol terdokumentasi dalam data yang dicuri. “Ini tidak akan menjadi masalah kontraintelijen kecuali seseorang tidak mengikuti prosedur,” katanya.
Williams juga menambahkan bahwa sementara kampanye Salt Typhoon hanya diketahui telah berdampak pada sekelompok orang yang relatif kecil, mereka memengaruhi banyak perusahaan telekomunikasi, dan dampak penuh dari pelanggaran itu mungkin masih belum diketahui.
“Saya khawatir tentang sumber FBI yang mungkin terpengaruh oleh paparan AT&T ini, tetapi secara lebih luas publik masih tidak memiliki pemahaman menyeluruh tentang konsekuensi dari kampanye Salt Typhoon,” kata Williams. “Dan tampaknya pemerintah AS masih bekerja untuk memahami hal itu juga.”