В понеделник главният прокурор на щата Вашингтон Боб Фъргюсън подаде иск срещу безжичния оператор T-Mobile във връзка с нарушение на сигурността на данните през 2021 г.
Разкрита през август 2021 г., атаката е довела до кражба на личната информация на 76,6 милиона души. През следващата година T-Mobile се съгласява да плати 350 млн. долара за уреждане на колективен иск във връзка с инцидента, а през 2024 г. се съгласява да плати гражданска санкция в размер на 15,75 млн. долара за уреждане на разследване на FCC във връзка с този и други случаи на нарушаване на сигурността на данните.
Джон Бинс, американски гражданин, живеещ в Турция, си приписва заслугата за атаката. Понастоящем Бинс се намира в затвор в Турция, след като е арестуван във връзка с атаките на Snowflake. Във връзка с атаките бяха арестувани и канадски гражданин и войник от американската армия.
В понеделник Фъргюсън заведе дело срещу T-Mobile заради липсата на подходящ контрол върху сигурността на личните данни на клиентите, като твърди, че операторът е знаел за някои уязвимости и не е успял да ги отстрани.
В иска се твърди също, че T-Mobile е подвел клиентите си, като е твърдял, че дава приоритет на защитата на събраните лични данни, и че операторът не е уведомил по подходящ начин жителите на Вашингтон за инцидента, омаловажавайки неговото въздействие.
При инцидента е била компрометирана личната информация на над 2 милиона жители на Вашингтон, а T-Mobile не е оповестил цялата засегната информация в уведомителните писма, изпратени до потребителите, се твърди още в иска.
Инцидентът е довел до кражба на имена, адреси, телефонни номера, информация за шофьорски книжки и други лични данни, а за 183 406 вашингтонски потребители е довел и до компрометиране на номерата на социалните осигуровки.
„Това значително нарушение на сигурността на данните е било напълно предотвратимо. T-Mobile разполагаше с години, за да отстрани ключови уязвимости в системите си за киберсигурност – и не успя“, заяви Фъргюсън.
Липсата на адекватно наблюдение на сигурността е попречила на безжичния оператор да открие нарушението на сигурността на данните в продължение на почти половин година, докато анонимен външен източник не го е уведомил за инцидента.
Според Главната прокуратура на Вашингтон уведомяването на засегнатите клиенти от страна на T-Mobile е било под формата на кратки текстови съобщения, в които „е била пропусната критична и изискваща се по закон информация, а в някои случаи клиентите са били подведени относно сериозността на нарушението“ и не е било споменато за компрометиране на номерата на социалните осигуровки, когато това е било така.
В иска се подчертава също така, че макар да е станал жертва на множество нарушения на сигурността на данните преди 2021 г., T-Mobile не е успял да се справи с проблемите на киберсигурността и че инцидентът от 2021 г. е пряк резултат от липсата на отговорност от страна на T-Mobile.
В допълнение към гражданските санкции и възстановяването на средства, искът изисква съдебно разпореждане, което да задължи T-Mobile да подобри своите политики и процедури за киберсигурност и да стане по-прозрачна при съобщаването на инцидентите на потребителите.
„През последните няколко години имахме многократни разговори за този инцидент от 2021 г. с прокуратурата във Вашингтон и дори се свързахме с нея в края на ноември, за да продължим дискусиите, така че решението на прокуратурата да подаде иск вчера беше изненада. Въпреки че не сме съгласни с техния подход и твърденията в жалбата, ние сме отворени за по-нататъшен диалог и приветстваме възможността да разрешим този въпрос, както вече направихме с FCC. Също така очакваме с нетърпение да споделим как през последните четири години T-Mobile промени из основи подхода си към киберсигурността, за да защити допълнително нашите клиенти“, заяви T-Mobile в изявление.
