O estado americano de Washington processou a T-Mobile por alegações de que a gigante da telefonia não conseguiu proteger os dados pessoais de milhões de residentes do estado. antes de uma violação de dados em agosto de 2021que afetou mais de 79 milhões de clientes nos Estados Unidos.
Em uma declaração Ao anunciar o processo, o procurador-geral de Washington, Bob Ferguson, disse que a T-Mobile “tinha conhecimento de certas vulnerabilidades de segurança cibernética há anos e não estava fazendo o suficiente para resolvê-las”. Ferguson disse que o processo busca indenização financeira sob as leis estaduais de proteção ao consumidor e ordena que a T-Mobile melhore suas políticas de segurança cibernética.
O ataque à T-Mobile em agosto de 2021 foi o mais recente de uma série de violações de dados na empresa nos últimos anos, com pelo menos cinco incidentes de segurança desde 2018. de acordo com a contagem do TechCrunch. A violação permitiu que um hacker acessasse os sistemas da T-Mobile e extraísse nomes de clientes, datas de nascimento e números de Seguro Social, bem como informações de carteira de motorista. Alguns dos dados roubados de clientes da T-Mobile foram posteriormente publicados em um conhecido fórum cibercriminoso.
Ferguson acusou a T-Mobile de fornecer aviso inadequado aos clientes afetados após a violação que “omitiu informações críticas e minimizou a gravidade”, o que Ferguson disse que afetou a capacidade dos consumidores de avaliar o risco de roubo de identidade ou fraude.
“Essa violação significativa de dados era totalmente evitável”, disse Ferguson no comunicado à imprensa. “A T-Mobile levou anos para corrigir vulnerabilidades importantes em seus sistemas de segurança cibernética e falhou.”
Ele ação judicialarquivado no tribunal federal em Seattle, continha redações importantes mascarando detalhes técnicos específicos do hack de agosto de 2021, mas a reclamação parece detalhar supostas deficiências técnicas de segurança e políticas internas da empresa que podem ter tornado mais fácil para o hacker acessar e baixar dados de clientes dos servidores da T-Mobile.
As partes não editadas observam que o hacker que visava a T-Mobile descobriu um “nome de usuário e senha facilmente adivinháveis”; que a T-Mobile “usou credenciais fracas” em contas para acessar seus sistemas internos; e que a T-Mobile “permitiu a conexão do endereço IP do autor da ameaça” de fora de sua rede. A reclamação também diz que a T-Mobile não implementou limitação de taxa em nenhuma tentativa de login, permitindo que o hacker experimentasse livremente tantas credenciais sem bloquear as contas dos funcionários em questão.
O processo também afirma que a “configuração inadequada de monitoramento e alerta” da empresa facilitou o acesso do hacker à rede da T-Mobile sem ser notado.
A reclamação de Ferguson acrescenta que as declarações públicas da T-Mobile deturparam a adequação de suas defesas de segurança cibernética e a ameaça aos dados dos clientes da T-Mobile encontrados na dark web, e disse que a conduta da empresa “tinha a capacidade de enganar um número substancial de consumidores de Washington”. “
Quando contatada pelo TechCrunch antes da publicação, a T-Mobile não fez comentários até o momento desta publicação. Em um comunicado fornecido pela porta-voz da T-Mobile, Michelle Jacob, após a publicação desta história, a empresa disse que o processo foi uma “surpresa”.
“Embora discordemos da sua abordagem e das afirmações constantes do processo, estamos abertos a um maior diálogo e acolhemos com satisfação a oportunidade de resolver esta questão, como já fizemos com a FCC”, afirmou o comunicado.
Atualizado com comentários da T-Mobile.
