| 8 янв 2025 — 6:29 утра PT
Штат Вашингтон подает в суд на T-Mobile из-за инцидента безопасности 2021 года, в результате которого были раскрыты персональные данные примерно 79 миллионов человек, включая 2 миллиона жителей Вашингтона. Раскрытые данные включали номера социального страхования, номера телефонов, физические адреса, уникальные номера IMEI и данные водительских удостоверений.
Оператора обвиняют в несоблюдении стандартных отраслевых процессов кибербезопасности, что позволило оставить утечку незамеченной в течение четырех месяцев…
Утечка данных T-Mobile
Сам по себе этот вопрос вызывает ответ «какая именно?» и в данном случае речь идет об атаке, в ходе которой хакер получил персональные данные примерно 79 миллионов американцев.
Утечка произошла в апреле 2021 года, но T-Mobile даже не осознала, что это произошло, пока хакер не начал рекламировать данные для продажи в августе того же года.
Изначально оператор заявил, что не знает, были ли получены данные клиентов, затем заявил, что были — и не только его собственные клиенты. В то время число пострадавших оценивалось в 47,8 миллиона, но позже признали, что их было 79 миллионов.
Серия дальнейших утечек привела к тому, что Федеральная комиссия по связи (FCC) оштрафовала оператора на 15,75 миллиона долларов и обязала его потратить такую же сумму на усиление мер безопасности.
Штат Вашингтон подает в суд на T-Mobile
Генеральный прокурор Боб Фергюсон объявил на этой неделе, что подал иск против компании, утверждая, что утечка была «полностью предотвратимой».
В судебном иске, поданном в Высший суд округа Кинг, утверждается, что T-Mobile годами знала о некоторых уязвимостях в области кибербезопасности и не предприняла достаточных мер для их устранения. В то же время T-Mobile вводила потребителей в заблуждение, заявляя, что компания уделяет приоритетное внимание защите персональных данных, которые она собирает.
В иске Фергюсона также утверждается, что T-Mobile не уведомила должным образом пострадавших жителей Вашингтона об утечке данных, преуменьшив ее серьезность и отправив уведомления пострадавшим потребителям, в которых не раскрывалась вся информация, которая была скомпрометирована.
Проще говоря, в иске утверждается, что масштабная утечка данных стала прямым следствием отсутствия подотчетности T-Mobile и несоблюдения отраслевых стандартов кибербезопасности.
«Эта значительная утечка данных была полностью предотвратимой», — сказал Фергюсон. «У T-Mobile были годы, чтобы исправить ключевые уязвимости в своих системах кибербезопасности — и она не справилась».
В иске говорится, что нарушения безопасности T-Mobile нарушили закон о защите прав потребителей.
За годы, предшествовавшие августу 2021 года, T-Mobile не соответствовала отраслевым стандартам кибербезопасности и знала об этих уязвимостях. К ним относились недостаточные процессы выявления и устранения угроз безопасности, а также системное отсутствие контроля. В некоторых случаях T-Mobile использовала очевидные пароли для защиты учетных записей, которые имели доступ к конфиденциальной личной информации клиентов. Утечка 2021 года была частично вызвана тем, что хакер угадал очевидные учетные данные, чтобы получить доступ к внутренним базам данных T-Mobile.
До 2021 года T-Mobile уже становилась целью многочисленных кибератак. Фактически, в отчетах Федеральной комиссии по ценным бумагам и биржам за 2020 год — за год до утечки данных, ставшей предметом иска Фергюсона — показано, что T-Mobile знала, что продолжит оставаться целью.
Несмотря на то, что T-Mobile годами знала об этих проблемах кибербезопасности и не решала их, компания продолжала вводить своих клиентов в заблуждение, заявляя о приверженности кибербезопасности, публично заявляя на своем веб-сайте: «Мы прикрываем вас. Мы всегда работаем над тем, чтобы защитить вас и вашу семью, и сохранить ваши данные в безопасности».
Иск Фергюсона утверждает, что эти нарушения нарушили Закон о защите прав потребителей штата Вашингтон. В нем утверждается, что утечка данных 2021 года стала прямым результатом отсутствия подотчетности T-Mobile.
T-Mobile сообщила нам:
Мы провели несколько встреч по этому инциденту с 2021 года с офисом Генерального прокурора Вашингтона в течение последних нескольких лет и даже обратились в конце ноября, чтобы продолжить обсуждения, поэтому решение офиса подать иск стало для нас неожиданностью. Хотя мы не согласны с их подходом и утверждениями в иске, мы открыты для дальнейшего диалога и приветствуем возможность урегулировать этот вопрос, как мы уже сделали с FCC. Мы также с нетерпением ждем возможности рассказать, как T-Mobile кардинально изменила наш подход к кибербезопасности за последние четыре года для дальнейшей защиты наших клиентов.
Фото: Mateus Maia на Unsplash