Федеральная комиссия по связи (FCC) достигла соглашения на сумму $13 млн с AT&T, чтобы завершить расследование по поводу того, почему телекоммуникационный гигант не смог защитить данные клиентов после взлома облачной среды поставщика.
Расследование FCC также затронуло целостность цепочки поставок AT&T и ненадлежащую практику конфиденциальности и кибербезопасности компании.
Масштабная утечка данных произошла в январе 2023 года, когда злоумышленники получили доступ к данным клиентов примерно 9 млн беспроводных учётных записей AT&T, хранящихся у поставщика, заключившего контракт на создание персонализированного видеоконтента, включая видеоролики о выставлении счетов и маркетинге. «Была раскрыта конфиденциальная сетевая информация клиентов с некоторых беспроводных учётных записей, например, о тарифном плане. Информация не содержала данных кредитной карты, номера социального страхования, паролей учётных записей или другой конфиденциальной личной информации», — сообщила AT&T в то время.
Однако в реальности данные включали имена клиентов, номера беспроводных счетов, номера телефонов и адреса электронной почты. Несмотря на то, что поставщик должен был уничтожить или вернуть данные после окончания контракта — за несколько лет до утечки — он этого не сделал. Было установлено, что AT&T неадекватно контролировала соблюдение договорных обязательств.
Чтобы урегулировать расследование, оператор согласился усилить методы управления данными. Соглашение обязывает AT&T внедрить комплексную программу информационной безопасности, улучшить процессы инвентаризации данных, гарантировать, что поставщики соблюдают правила хранения и утилизации информации клиентов, и проводить ежегодные проверки соответствия.
В июле 2024 года AT&T предупредила о ещё одной масштабной утечке данных после того, как злоумышленники украли журналы вызовов примерно 109 млн клиентов из онлайн-базы данных на счёте Snowflake компании в период с 14 по 25 апреля 2024 года. Раскрытые данные содержали номера телефонов, продолжительность вызовов, метаданные коммуникаций и количество вызовов или текстовых сообщений. Однако AT&T заявила, что злоумышленники не смогли получить доступ к содержанию вызовов или текстовых сообщений, именам клиентов или любой другой личной информации, такой как номера социального страхования или даты рождения.
В апреле компания также уведомила 51 млн бывших и нынешних клиентов об утечке данных на хакерском форуме Breached в 2021 году.
Источник: habr.com