В 2021 году T-Mobile позволила скомпрометировать конфиденциальную личную информацию более 76 миллионов нынешних, бывших и будущих клиентов. Дело, которое истцы в групповом иске охарактеризовали как «один из крупнейших и наиболее серьезных случаев утечки персональных данных в истории США». По их словам, компания не только предоставила их личные данные несанкционированному доступу, но и продолжала получать прибыль от этой конфиденциальной информации, пока судебный процесс находился на рассмотрении.
Теперь T-Mobile объявила, что, хотя они и не признают свою вину, они готовы заключить мировое соглашение, по которому они должны заплатить 500 миллионов долларов. Данное соглашение находится на рассмотрении судебной коллегии. 350 миллионов долларов по нему пойдут в фонд для урегулирования иска и «не менее 150 миллионов долларов на улучшение мер безопасности данных до 2023 года».
Какими будут новые меры, T-Mobile пока не сообщила, но обращает внимание на последние, принятые в течение года. К ним относятся
- создание Управления трансформации кибербезопасности, которое подчиняется непосредственно генеральному директору T-Mobile Майку Зиверту;
- сотрудничество с поставщиками услуг кибербезопасности;
- усиление обучения сотрудников в области кибербезопасности;
- инвестиции «100 миллионов долларов в улучшение наших текущих инструментов и возможностей кибербезопасности».
В соответствии с мировым соглашением у T-Mobile будет 10 дней, чтобы перевести средства истцам.
Ошибки T-Mobile
По словам истцов в иске, T-Mobile нарушила условия собственной политики конфиденциальности, не сообщив своевременно о нарушении и, в первую очередь, не создав надлежащие меры безопасности для защиты пользовательских данных. В своей жалобе они поделились текстовыми сообщениями и электронными письмами, отправленными T-Mobile, в которых говорилось об утечке данных, но не давали понять, что среди утекшей информации были номера социального страхования их клиентов.
Кроме того, T-Mobile даже разослала уведомления, в которых подчеркивалось, что эта ключевая личная информация США недоступна для злоумышленников. Это противоречие предполагает, что телекоммуникационная компания намеренно скрыла подробности взлома.
С технологической точки зрения наиболее впечатляющим утверждением является то, что T-Mobile не предприняла даже элементарных шагов для защиты данных, таких как «ограничение скорости» — подход, защищающий серверы от слишком большого количества запросов одновременно.
Ранее: IT-гиганты намерены избавиться от корректировки времени