Американский штат Вашингтон подал в суд на T-Mobile в связи с обвинениями в том, что телефонный гигант не смог защитить личные данные миллионов жителей штата до утечки данных в августе 2021 года, от которой пострадали более 79 миллионов клиентов по всей территории Соединенных Штатов.
В заявлении, анонсирующем иск, генеральный прокурор Вашингтона Боб Фергюсон заявил, что T-Mobile «в течение многих лет знала об определенных уязвимостях кибербезопасности и не делала достаточно для их устранения». Фергюсон заявил, что иск требует возмещения финансового ущерба в соответствии с законами штата о защите прав потребителей и требования к T-Mobile улучшить свою политику кибербезопасности.
Взлом T-Mobile в августе 2021 года стал последним в серии утечек данных компании за последние годы: по подсчетам TechCrunch, как минимум пять инцидентов безопасности датируются 2018 годом. В результате взлома хакер получил доступ к системам T-Mobile и украл имена клиентов, даты рождения и номера социального страхования, а также информацию о водительских правах. Некоторые из украденных данных клиентов T-Mobile впоследствии были опубликованы на известном форуме киберпреступников.
Фергюсон обвинил T-Mobile в предоставлении ненадлежащего уведомления пострадавшим клиентам после нарушения, которое «опустило важную информацию и преуменьшило серьезность», что, по словам Фергюсона, повлияло на способность потребителей оценивать риск кражи личных данных или мошенничества.
«Этой серьезной утечки данных можно было полностью избежать», — цитируется Фергюсон в пресс-релизе. «У T-Mobile были годы, чтобы исправить ключевые уязвимости в своих системах кибербезопасности — и это не удалось».
Иск, поданный в федеральный суд Сиэтла, содержал значительные исправления, скрывающие конкретные технические детали взлома в августе 2021 года, но в жалобе, похоже, подробно описаны предполагаемые недостатки технической безопасности и внутренние политики компании, которые могли облегчить хакеру доступ и загрузку. данные клиентов с серверов T-Mobile.
В неотредактированных частях отмечается, что хакер, атаковавший T-Mobile, обнаружил «легко угадываемые имя пользователя и пароль»; что T-Mobile «использовала слабые учетные данные» для доступа к своим внутренним системам; и что T-Mobile «разрешила подключение с IP-адреса злоумышленника» из-за пределов своей сети. В жалобе также говорится, что T-Mobile не реализовала ограничение скорости при любых попытках входа в систему, что позволяет хакеру свободно проверять как можно больше учетных данных, не блокируя соответствующие учетные записи сотрудников.
В иске также говорится, что «неадекватная конфигурация мониторинга и оповещения» компании облегчила хакеру доступ к сети T-Mobile, оставшись незамеченным.
В жалобе Фергюсона добавляется, что публичные заявления T-Mobile искажают адекватность ее защиты от кибербезопасности и угрозу данным клиентов T-Mobile, найденным в даркнете, и говорится, что поведение компании «имело возможность обмануть значительное количество потребителей в Вашингтоне». »
Представитель T-Mobile в понедельник не стал сразу комментировать иск.
