Stan Waszyngton pozywa T-Mobile ponad 2021 rok bezpieczeństwo naruszenie, które ujawniło dane osobowe około 79 milionów ludzi, w tym 2 miliony mieszkańców Waszyngtonu. Ujawnione dane obejmowały numery ubezpieczenia społecznego, numery telefonów, adresy fizyczne, unikalne numery IMEI i informacje o prawie jazdy.
Przewoźnikowi zarzuca się nieprzestrzeganie standardowych w branży procesów cyberbezpieczeństwa, przez co naruszenie pozostało niezauważone przez cztery miesiące…
Naruszenie danych w T-Mobile
Już samo to sformułowanie nasuwa pytanie „który?” w tym przypadku jest to atak, podczas którego haker uzyskał dane osobowe około 79 milionów Amerykanów.
Do włamania doszło w kwietniu 2021 r., ale T-Mobile choćby nie zdawał sobie sprawy, iż do niego doszło, dopóki haker zaczął reklamować dane na sprzedaż w sierpniu tamtego roku.
Przewoźnik początkowo stwierdził, iż nie wie, czy uzyskano dane klientów, a następnie stwierdził, iż tak – i nie Tylko swoich własnych klientów. W tamtym czasie liczba dotkniętych chorobą wynosiła 47,8 mln, ale później przyznała, iż było to 79 mln.
Seria z kolejne naruszenia zobaczył Federalną Komisję Łączności (FCC) ukarać przewoźnika kwotą 15,75 mln dolarówi nakazał mu ponownie wydać te same pieniądze na wzmocnienie środków bezpieczeństwa.
Stan Waszyngton pozywa T-Mobile
Prokurator Generalny Bob Ferguson ogłoszony w tym tygodniu złożył pozew przeciwko firmie, argumentując, iż naruszenia „można było całkowicie uniknąć”.
The proces sądowyw sprawie złożonej do Sądu Najwyższego hrabstwa King stwierdza, iż T-Mobile od lat wiedział o pewnych lukach w cyberbezpieczeństwie i nie zrobił wystarczająco dużo, aby im zaradzić. Jednocześnie T-Mobile błędnie informował konsumentów, iż dla firmy priorytetem jest ochrona gromadzonych danych osobowych.
W pozwie Fergusona zarzuca się również T-Mobile, iż T-Mobile nie powiadomiła odpowiednio mieszkańców Waszyngtonu o naruszeniu danych, bagatelizując jego wagę i wysyłając do dotkniętych konsumentów powiadomienia, które nie ujawniły wszystkich informacji, które zostały naruszone.
Krótko mówiąc, w pozwie stwierdzono, iż masowe naruszenie danych było bezpośrednim skutkiem braku odpowiedzialności T-Mobile i nieprzestrzegania branżowych standardów cyberbezpieczeństwa.
„Tego znaczącego naruszenia bezpieczeństwa danych można było całkowicie uniknąć” – powiedział Ferguson. „T-Mobile miał lata na naprawienie kluczowych luk w swoich systemach cyberbezpieczeństwa – i to się nie udało”.
W pozwie stwierdzono, iż awarie bezpieczeństwa T-Mobile stanowią naruszenie prawa ochrony konsumentów.
Przez lata poprzedzające sierpień 2021 r. T-Mobile nie spełniał standardów branżowych w zakresie cyberbezpieczeństwa i wiedział o tych lukach. Należą do nich niewystarczające procesy identyfikacji zagrożeń bezpieczeństwa i reagowania na nie, a także systemowy brak nadzoru. W niektórych przypadkach T-Mobile stosował oczywiste hasła w celu ochrony kont mających dostęp do wrażliwych danych osobowych klientów. Do naruszenia z 2021 r. doszło częściowo dzięki temu, iż haker odgadł oczywiste dane uwierzytelniające umożliwiające uzyskanie dostępu do wewnętrznych baz danych T-Mobile.
Już przed 2021 rokiem T-Mobile był celem licznych cyberataków. W rzeczywistości zgłoszenia składane do federalnej Komisji Papierów Wartościowych i Giełd od 2020 r. – rok przed naruszeniem danych będącym przedmiotem pozwu Fergusona – pokazują, iż T-Mobile wiedział, iż przez cały czas będzie celem.
Pomimo wiedzy o tych kwestiach związanych z cyberbezpieczeństwem i braku ich rozwiązywania przez lata, T-Mobile w dalszym ciągu fałszywie przedstawiał swoim klientom swoje zaangażowanie w cyberbezpieczeństwo, publicznie zachwalając na swojej stronie internetowej: „Popieramy Cię. Zawsze staramy się chronić Ciebie i Twoją rodzinę oraz zapewnić bezpieczeństwo Twoich danych.”
W pozwie Fergusona stwierdzono, iż te niepowodzenia naruszyły waszyngtońską ustawę o ochronie konsumentów. Zarzuca, iż naruszenie danych w 2021 r. było bezpośrednim skutkiem braku odpowiedzialności T-Mobile.
Zdjęcie autorstwa Mateusz Maja NA Usuń rozpryski
FTC: Korzystamy z automatycznych linków partnerskich generujących dochód. Więcej.
