T-Mobile stoi przed drugim pozwem w związku z naruszeniem danych w 2021 r., które dotknęło 80 milionów użytkowników. The proces sądowyzłożone przez prokuratora generalnego stanu Waszyngton Boba Fergusona, twierdzi, że T-Mobile nie zaradził znanym lukom w zabezpieczeniach cyberbezpieczeństwa w swoich systemach.
T-Mobile stoi przed drugim pozwem w związku z naruszeniem danych w 2021 r
Ferguson stwierdził, że T-Mobile miał lata na „naprawienie kluczowych luk” i zarzucił firmie brak odpowiednich działań w celu zabezpieczenia swoich systemów. W pozwie zarzucono także, że T-Mobile wprowadził klientów w błąd w zakresie swoich praktyk bezpieczeństwa, opóźnił powiadomienie mieszkańców Waszyngtonu o naruszeniu i bagatelizował wagę naruszenia.
„Przez lata poprzedzające sierpień 2021 r. T-Mobile nie spełniał standardów branżowych w zakresie cyberbezpieczeństwa i wiedział o tych lukach. Należą do nich niewystarczające procesy identyfikacji zagrożeń bezpieczeństwa i reagowania na nie, a także systemowy brak nadzoru. W niektórych przypadkach T-Mobile stosował oczywiste hasła w celu ochrony kont mających dostęp do wrażliwych danych osobowych klientów. Do naruszenia z 2021 r. doszło częściowo dzięki temu, że haker odgadł oczywiste dane uwierzytelniające umożliwiające uzyskanie dostępu do wewnętrznych baz danych T-Mobile” – czytamy w pozwie.
Twoje dane T-Mobile zostały prawie skradzione: oto jak to się stało
O naruszeniu, do którego doszło w marcu 2021 r., firma dowiedziała się dopiero w sierpniu 2021 r. Hakerzy uzyskali dostęp do wrażliwych danych klientów, w tym imion i nazwisk, numerów telefonów, adresów, dat urodzenia, numerów ubezpieczenia społecznego, danych z prawa jazdy i dowodu osobistego oraz identyfikatorów urządzeń. Skompromitowane dane zostały następnie sprzedane.
Osoba odpowiedzialna za naruszenie określiła bezpieczeństwo T-Mobile jako „straszne”, wskazując, że atak był ułatwiony poprzez wykrycie niezabezpieczonego routera, który umożliwiał dostęp do centrum danych T-Mobile w Waszyngtonie.
W odpowiedzi na naruszenie T-Mobile przeprosił i zobowiązał się do wzmocnienia swoich środków bezpieczeństwa poprzez współpracę z ekspertami ds. cyberbezpieczeństwa.
Obecny pozew ma na celu zadośćuczynienie mieszkańcom Waszyngtonu dotkniętym naruszeniem oraz wydanie nakazu sądowego w celu nakazania ulepszenia protokołów cyberbezpieczeństwa T-Mobile.
T-Mobile już wcześniej rozstrzygnął pozew zbiorowy dotyczący naruszenia bezpieczeństwa danych na kwotę 350 mln dolarów w 2022 r. i został ukarany grzywną w wysokości 60 mln dolarów nałożoną przez Komisję ds. Inwestycji Zagranicznych Stanów Zjednoczonych (CFIUS) za niezapobieganie lub nieujawnienie nieuprawnionego dostępu do wrażliwych danych klientów.
Autor wyróżnionego obrazu: appshunter.io/Unsplash
