Federal İletişim Komisyonu (FCC), üç yıl önce bir tedarikçinin bulut ortamına erişimin engellenmesinin ardından telekom devinin müşteri verilerini koruyup korumadığı konusundaki soruşturmayı çözmek için AT&T ile 13 milyon dolarlık bir anlaşmaya vardı.
FCC’nin soruşturmasında ayrıca AT&T’nin tedarik zinciri bütünlüğü ve telekom devinin zayıf gizlilik ve siber güvenlik uygulamaları kullanıp kullanmadığı da incelendi.
FCC tarafından araştırılan büyük veri ihlali, Ocak 2023’te, tehdit aktörlerinin faturalama ve pazarlama videoları da dahil olmak üzere kişiselleştirilmiş video içeriği üretmek üzere sözleşmeli bir satıcı tarafından saklanan yaklaşık 9 milyon AT&T kablosuz hesabına ait müşteri verilerine erişmesiyle gerçekleşti.
AT&T o dönemde BleepingComputer’a yaptığı açıklamada, “Bazı kablosuz hesaplardaki Müşteriye Özel Ağ Bilgileri, bir hesaptaki hat sayısı veya kablosuz ücret planı gibi bilgiler ifşa edildi” demişti.
“Bilgilerde kredi kartı bilgileri, Sosyal Güvenlik Numarası, hesap şifreleri veya diğer hassas kişisel bilgiler bulunmuyordu. Etkilenen müşterilerimizi bilgilendiriyoruz.”
Ocak 2023’teki ihlalde açığa çıkan CPNI verileri arasında müşterilerin adları, kablosuz hesap numaraları, telefon numaraları ve e-posta adresleri yer alıyordu.
Sözleşme sona erdikten sonra (ihlalden yıllar önce) satıcının verileri imha etmesi veya iade etmesi gerekmesine rağmen bunu başaramadı. AT&T’nin, satıcının sözleşmesel yükümlülüklerine uyumunu yeterince izlemediği tespit edildi.
“Taşıyıcılar, hassas bilgilere erişimleri göz önünde bulundurulduğunda ek önlemler almalı ve müşterinin hangi sağlayıcıyı seçtiğinden bağımsız olarak, durumun böyle olmasını sağlamak için dikkatli olmaya devam edeceğiz.”
AT&T müşteri veri korumasını artırmayı kabul etti
Soruşturmayı sonlandırmak için AT&T ayrıca, gelecekte benzer satıcı veri ihlallerine karşı tüketicilerinin hassas verilerini korumak için veri yönetimi uygulamalarını güçlendirmeyi kabul etti.
Rıza kararnamesi, AT&T’ye kapsamlı bir Bilgi Güvenliği Programı uygulamasını, bu programa müşteri verilerinin kapsamlı bir şekilde korunmasını, tedarikçilerle paylaşılan verileri izlemek için veri envanteri süreçlerini iyileştirmesini, tedarikçilerin müşteri bilgileri için saklama ve imha kurallarına uymasını sağlamasını (veri ihlallerine karşı savunmasız müşteri verilerinin miktarını sınırlamak için) ve AT&T’nin bu gerekliliklere uyumunu değerlendirmek üzere yıllık uyumluluk denetimleri gerçekleştirmesini zorunlu kılıyor.
FCC Başkanı Jessica Rosenworcel, “İletişim Yasası, operatörlerin tüketici verilerinin gizliliğini ve güvenliğini koruma görevini açıkça ortaya koyuyor ve bu sorumluluk, dijital çağdaki veri ihlalleri açısından yeni bir anlam kazanıyor” dedi.
“Taşıyıcılar, hassas bilgilere erişimleri göz önünde bulundurulduğunda ek önlemler almalı ve müşterinin hangi sağlayıcıyı seçtiğinden bağımsız olarak, durumun böyle olmasını sağlamak için dikkatli olmaya devam edeceğiz.”
Uygulama Bürosu Şefi Loyaan A. Egal de davanın önemini vurgulayarak, “İletişim servis sağlayıcılarının, tehdit aktörlerinin hassas müşteri verilerine erişmek için istismar etmeye çalıştığı saldırı yüzeyini ve giriş noktalarını azaltma yükümlülüğü vardır.” dedi.
AT&T, Temmuz 2024’te tehdit gruplarının 14 Nisan – 25 Nisan 2024 tarihleri arasında şirketin Snowflake hesabındaki çevrimiçi bir veritabanından yaklaşık 109 milyon müşterisine (neredeyse tüm mobil müşterilerine) ait çağrı kayıtlarını çalmasının ardından başka bir büyük veri ihlali konusunda uyarıda bulundu.
Açığa çıkan veriler telefon numaraları, arama süreleri, iletişim meta verileri ve arama veya mesaj sayısı içeriyordu. Ancak AT&T, saldırganların aramaların veya mesajların içeriğine, müşteri adlarına veya Sosyal Güvenlik numaraları veya doğum tarihleri gibi diğer kişisel bilgilere erişemediğini söyledi.
Şirket ayrıca nisan ayında 51 milyon eski ve mevcut müşterisine, Mart ayında Breached hacking forumunda sızdırılan ve daha önce 2021’de 1 milyon dolara satışa sunulan büyük miktarda AT&T müşteri verisiyle bağlantılı bir veri ihlali hakkında bildirimde bulundu.