- В прошлом году FCC оштрафовала AT&T на 13 миллионов долларов за сбой в облачной безопасности, в результате которого была раскрыта конфиденциальная информация о клиентах, что эквивалентно плате в размере около 1,46 доллара за раскрытого клиента.
- В 2023 году бывший поставщик облачных услуг AT&T был взломан, в результате чего были скомпрометированы данные 8,9 миллионов клиентов.
- Поставщик должен был удалить данные клиентов после того, как они больше не были нужны, но хранил их в течение многих лет, что привело к взлому.
Для опытного исследователя, проявляющего большой интерес к кибербезопасности, эти события с участием AT&T были не чем иным, как дежавю. Кажется, что подход компании к безопасности данных напоминает игру в «ударь крота», где одна проблема решается, а затем возникает другая.
Федеральная комиссия по связи (FCC) оштрафовала AT&T на 13 миллионов долларов из-за сбоя в их облачной системе безопасности, который привел к утечке данных в прошлом году. Этот прискорбный инцидент сделал частные, конфиденциальные данные своих клиентов уязвимыми для несанкционированного доступа со стороны внешних лиц.
В 2023 году, будучи исследователем, я столкнулся с последствиями кибератаки на предыдущего поставщика облачных услуг AT&T. В результате этого прискорбного инцидента были раскрыты конфиденциальные данные, принадлежащие примерно 8,9 миллионам клиентов. Федеральная комиссия по связи (FCC) впоследствии опубликовала заявление, как сообщает Ars Technica, в котором выразила обеспокоенность тем, что AT&T, возможно, не приняла достаточных мер для защиты конфиденциальной информации своих клиентов.
С 2015 по 2017 год AT&T делилась данными о клиентах с поставщиком с целью создания индивидуального видеоконтента. Предполагалось, что эти данные будут либо возвращены, либо удалены, как только они больше не будут нужны. К сожалению, это действие должно было произойти гораздо раньше, чем произошло нарушение.
Соглашение предусматривало, что AT&T должна обеспечить безопасное удаление всех данных к 2018 году. Тем не менее, поставщик хранил данные в течение многих лет, что в конечном итоге привело к утечке данных, которая произошла в 2023 году.
По данным FCC, AT&T не только не смогла обеспечить безопасность данных клиентов у своего поставщика, но и не проверила, были ли данные возвращены или надлежащим образом удалены впоследствии.
К счастью, скомпрометированные данные не содержали конфиденциальных данных, таких как пароли, номера социального страхования или данные кредитной карты. Вместо этого в первую очередь речь шла об информации о счетах клиентов, главным образом об остатках на счетах.
В соответствии с достигнутым соглашением я стал свидетелем стремления AT&T улучшить свои процедуры обработки данных и установить недвусмысленные меры защиты информации клиентов. Я ожидаю, что эти обновления будут стоить немало, превысив наложенный штраф в 13 миллионов долларов.
Несмотря на значительные последствия утечки данных в 2023 году, это был не первый опыт AT&T с такими проблемами. Фактически, еще в апреле прошлого года компания была вынуждена сбросить пароли примерно 73 миллионов пользователей из-за того, что их данные для входа были опубликованы в даркнете. Этот инцидент вызвал волну коллективных исков от пострадавших лиц.
В июле стало известно, что значительная часть телефонных и текстовых записей их клиентов была раскрыта из-за утечки данных, связанной с поставщиком облачных услуг Snowflake. Этот инцидент также затронул клиентов сетей, принадлежащих AT&T, таких как Cricket Wireless, и других операторов связи, использующих инфраструктуру AT&T.
Смотрите также
2024-09-21 00:23