AT&T 13 milyon dolara ulaştı Federal İletişim Komisyonu ile uzlaşma Salı günü, Ocak 2023’te 8,9 milyon müşterinin verilerini ifşa eden üçüncü taraf ihlaliyle ilgili kurumun soruşturmasını çözmek için bir araya geldi.
FCC, telekom operatörünün anlaşmanın bir parçası olarak veri yönetimi uygulamalarını ve tedarik zinciri güvenliğini güçlendirmeyi taahhüt ettiğini söyledi. AT&T’nin, kablosuz operatörlerin dahili kullanım için topladığı ve pazarlama amaçlı üçüncü taraflara sattığı müşteri hesap verileri türü olan müşteriye ait özel ağ bilgilerini koruması, uygun şekilde elden çıkarması ve bunlara erişimi sınırlaması gerekiyor.
“AT&T, tedarikçisinin müşteri bilgilerini yeterince koruduğundan emin olamadı,” FCC’nin uygulama bürosu şefi Loyaan Egal, Salı günü şöyle dedi rıza kararı“Bunun yerine, silinmesi veya AT&T’ye iade edilmesi gerekirken, satıcının bulut ortamında yıllarca kaldı ve nihayetinde 2023’teki ihlalde ifşa edildi.”
AT&T’nin FCC ile vardığı anlaşma ciddi bir ihlali içeriyor, ancak neredeyse tüm müşterilerine ait verileri ifşa eden üçüncü taraf ihlali de dahil olmak üzere tekrarlanan güvenlik ihlalleri bir kalıp olduğunu gösteriyor.
AT&T, Ocak 2023’teki veri ihlalinde adı geçen üçüncü taraf sağlayıcıyla artık çalışmadığını ve ifşa olan veriler arasında kredi kartı bilgileri, Sosyal Güvenlik numaraları veya hesap şifrelerinin bulunmadığını belirtti.
Şirket sözcüsü Salı günü e-posta yoluyla yaptığı açıklamada, “Müşterilerimizin verilerini korumak en önemli önceliklerimizden biri olmaya devam ediyor.” dedi.
Sözcü, “Sistemlerimiz bu olayda tehlikeye girmemiş olsa da, müşteri bilgilerini şirket içinde yönetme şeklimizi iyileştirmenin yanı sıra tedarikçilerimizin veri yönetimi uygulamalarına ilişkin yeni gereklilikler uyguluyoruz” dedi.
ZK Research kurucusu ve baş analisti Zeus Kerravala, AT&T’nin kabul ettiği veri gizliliği yönetimi iyileştirmelerinin halihazırda standart süreçlerinin bir parçası olması gerektiğini söyledi.
Kerravala, “Bir kere kandırırsan yazıklar olsun sana, iki kere kandırırsan yazıklar olsun bana” ifadesini kullandı.
Tekrarlayan telekom ihlalleri bu örüntüyü vurguluyor
Müşteri verilerini ifşa eden kapsamlı ihlaller yaşayan tek şirket AT&T değil.
T-Mobile kamuoyuna duyurdu 2018 ile 2023 yılları arasında sekiz veri ihlaliBunlardan en kötüsü Ağustos 2021’de meydana geldi ve kişisel veriler ifşa edildi en az 76,6 milyon kişi.
Telekom şebekesi operatörleri, kısmen ellerinde bulundurdukları hassas veriler ve hizmet verdikleri büyük müşteri tabanları nedeniyle siber suçlular için yüksek değerli bir hedeftir. AT&T banka 29,8 milyar dolarlık gelir üzerinden 3,9 milyar dolarlık net gelir 2024’ün ikinci çeyreği.
A AT&T’nin Snowflake ortamını hedef alan siber saldırı Nisan ayında telekomünikasyon sağlayıcısının kablosuz müşterilerinin neredeyse tamamına, yani yaklaşık 110 milyon kişiye ait veriler tehlikeye atıldı.
AT&T, Snowflake’un 100’den fazla müşterisinden biriydi yaygın kimlik tabanlı saldırı dalgası bulut tabanlı veri ambarı satıcısının müşterilerini hedef alıyor. Saldırganlar AT&T’nin Snowflake ortamına 11 gün boyunca eriştiler ve 2022’den itibaren altı aylık bir süreyi kapsayan müşterilerin arama ve kısa mesaj kayıtlarını çaldılar.
Mart ayında ayrı bir olayda AT&T, bir karanlık web’de veri sızıntısı yaklaşık 7,6 milyon mevcut müşteri ve yaklaşık 65,4 milyon eski müşteriye ait hassas verileri içeriyordu.
Kerravala, “AT&T’nin birden fazla kez ihlalde bulunması, güvenlik operasyonlarında önemli bir yenileme yapılmadığı takdirde başka bir ihlalin daha yaşanmasının muhtemel olduğuna dair müşterilere bir işaret olmalı” dedi.
Kerravala, “Hayatımızı telefonlara dayanarak yaşıyoruz. Mobil cihazlar üzerinden iletişim kuruyor, alışveriş yapıyor, eğitim veriyor, bağ kuruyor ve eğleniyoruz,” dedi. “Müşteriler verilerini korumak için AT&T’ye güveniyor ve telekomünikasyon şirketi onları hayal kırıklığına uğrattı.”