వార్తలు

T-Mobile US desembolsará US$ 31,5 milhões após aquela longa série de SNAFUs de segurança

Photo of Hamidul Islam Hamidul Islam Send an email September 30, 2024
0 3 minutes read

A T-Mobile US concordou em desembolsar US$ 31,5 milhões para melhorar sua segurança cibernética e pagar uma multa depois que uma série de invasões de rede afetaram milhões de clientes entre 2021 e 2023.

Especificamente, a empresa de telecomunicações entrou em um acordo legal [PDF] com a FCC hoje que exige que a operadora pague uma multa civil de US$ 15,75 milhões ao Tesouro dos EUA e também gaste US$ 15,75 milhões nos próximos dois anos em seu programa de segurança da informação, incluindo:

  • Designar um diretor de segurança da informação que se reportará regularmente ao conselho de administração.
  • Construindo uma estrutura de segurança de confiança zero e segmentando sua rede.
  • Implementar autenticação multifator resistente a phishing em suas redes e sistemas.
  • Adotar processos de minimização, inventário e descarte de dados para limitar a quantidade de informações do cliente que coleta e retém.
  • Identificando e monitorando ativos críticos em sua rede.
  • Realização de avaliações independentes de terceiros sobre suas práticas de segurança da informação.

O acordo foi alcançado depois que a FCC acusou formalmente a T-Mo de quebrar suas obrigações sob a Lei de Comunicações de 1934, que exige que as operadoras façam coisas estranhas, como proteger as informações dos clientes contra roubo e implementar defesas razoáveis ​​de segurança cibernética.

“A implementação dessas práticas exigirá investimentos significativos – e há muito esperados –”, observa o acordo da FCC. “Fazer isso na escala da T-Mobile provavelmente exigirá gastos uma ordem de magnitude maior do que a penalidade civil aqui.”

Pelas nossas contas, o não-portador sofreu pelo menos sete violações de segurança de TI durante um período de cinco anos, resultando no roubo e vazamento de dezenas de milhões de dados de clientes em mercados da dark web. Dito isto, o acordo cobre oficialmente quatro SNAFUs desde 2021.

Quando questionado sobre o acordo, um porta-voz da T-Mobile nos EUA disse O Registro a empresa de telecomunicações já estava tentando reforçar a segurança do seu computador:

Pelo que sabemos, T-Mo não admitiu qualquer irregularidade na resolução deste caso.

Conforme descrito no acordo, a primeira violação de privacidade ocorreu em 2021. Naquela época, um criminoso obteve acesso para um ambiente T-Mo remotamente e, por fim, roubou uma tonelada de informações pessoais e de dispositivos confidenciais, incluindo PINs, pertencentes a 76,6 milhões de clientes atuais, antigos e potenciais da T-Mobile.

A FCC dá alguns detalhes sobre esse roubo de dados:

Um ano depois, um criminoso invadiu uma plataforma de gerenciamento que a T-Mobile US fornece aos revendedores de sua operadora de rede virtual móvel (MVNO) usando algumas táticas diferentes, incluindo uma troca ilegal de SIM envolvendo um funcionário da T-Mo e um ataque de phishing contra outro. funcionário.

Então, em 2023, um criminoso usou credenciais de conta T-Mob roubadas para acessar um aplicativo de vendas e visualizar dados de clientes. A não-operadora registrou essa violação de privacidade após um aumento nas reclamações de transferência de clientes. Uma investigação interna revelou que o invasor roubou credenciais pertencentes a “várias dezenas” de funcionários do varejo, e acredita-se que tenham sido roubadas em uma campanha de phishing.

E em um incidente separado de 2023, a T-Mobile US descobriu uma violação de segurança de dados envolvendo uma de suas APIs. “Erro humano levou a uma configuração incorreta nas configurações de permissões que permitiu que um agente de ameaça enviasse consultas e obtivesse dados de contas de clientes da T-Mobile”, diz o acordo. Usando esta API, os ladrões de dados roubaram um “conjunto limitado” de dados completos de contas de clientes, juntamente com cerca de 37 milhões de contas de clientes pós e pré-pagas.

“As redes móveis de hoje são os principais alvos dos cibercriminosos”, disse a chefe da FCC, Jessica Rosenworcel, em comunicado. [PDF]. “Os dados dos consumidores são demasiado importantes e sensíveis para receberem algo menos do que as melhores proteções de segurança cibernética.”

Para este fim, a FCC emitiu em fevereiro regras de relatórios atualizadas que exigem que as empresas de telecomunicações na América divulguem oficialmente que um criminoso invadiu os seus sistemas no prazo de sete dias após a descoberta da intrusão.

A nova regra da FCC veio poucos dias depois Verizon começou a notificar mais de 63 mil pessoas, a maioria funcionários atuais, de que alguém obteve acesso ilícito às suas informações pessoais. ®

Source

Photo of Hamidul Islam Hamidul Islam Send an email September 30, 2024
0 3 minutes read
Photo of Hamidul Islam

Hamidul Islam

Related Articles

As imagens mostram fortes correntes arrastando carros enquanto as enchentes assolavam as ruas de Cadaques, Girona, esta manhã

Espanha atingida por novas inundações repentinas: um dilúvio torrencial estranho faz carros flutuarem nas ruas de Girona, pouco mais de uma semana depois de 200 pessoas terem morrido no desastre de Valência

51 mins ago
సాంకేతిక మద్దతు కోసం ప్రపంచ రికార్డు? పరిష్కరించడానికి 8.5 సెకన్లు చూడండి

సాంకేతిక మద్దతు కోసం ప్రపంచ రికార్డు? పరిష్కరించడానికి 8.5 సెకన్లు చూడండి

52 mins ago
రాబిన్ హుడ్: ప్రిన్స్ ఆఫ్ థీవ్స్‌లో తన విల్లు మరియు బాణంతో రాబిన్ హుడ్ పాత్రలో కెవిన్ కాస్ట్నర్

కెవిన్ కాస్ట్నర్ రాబిన్ హుడ్‌లో నటించడానికి అంగీకరించిన ఏకైక కారణం: ప్రిన్స్ ఆఫ్ థీవ్స్

57 mins ago
Pak vs Aus: Camisas Verdes no controle de cruzeiro, trazem o século em busca de 164 no 2º ODI

Pak vs Aus: Camisas Verdes no controle de cruzeiro, trazem o século em busca de 164 no 2º ODI

1 hour ago

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button