AT&T, şirketin 73 milyon mevcut ve eski müşterisinin hassas verilerini açığa çıkaran büyük bir veri ihlalini kabul etmesinin ardından çok sayıda toplu davayla karşı karşıya bulunuyor.
AT&T'nin ihlalle ilgili önceki raporumuzu doğruladığı Cumartesi gününden bu yana açılan on davadan biri, davacı Patricia Dean'i ve benzer konumdaki kişileri temsil eden Morgan & Morgan tarafından ele alındı.
Bu hukuk firması kısa süre önce Google'a karşı bir Gizli gizlilik davası açarak teknoloji devini mahkemelerde dört yıl süren mücadelenin ardından bir anlaşmaya zorladı.
Dava, AT&T'nin müşterilerin kişisel verilerini yeterince koruyamadığını, bunun da bir siber saldırıya ve ardından 73 milyon kişinin hassas bilgilerinin açığa çıkmasına neden olan veri ihlaline yol açtığını iddia ediyor.
Açığa çıkan veriler arasında AT&T müşterilerinin adları, adresleri, telefon numaraları, doğum tarihleri, Sosyal Güvenlik Numaraları ve e-posta adresleri yer alıyor.
Toplu dava, ilk kez 2021'de AT&T'yi hacklediğini ve verileri satmaya çalıştığını iddia eden tehdit aktörü Shiny Hunters tarafından yayınlanan bir veri ihlaliyle ilgili. Ancak AT&T, sızdırılan veri örneklerinin kendilerine ait olmadığını söyleyerek bu iddialara karşı çıktı.
17 Mart 2024'te 'MajorNelson' adlı başka bir tehdit aktörü, veritabanının tamamını bir bilgisayar korsanlığı forumunda ücretsiz olarak sızdırdı ve bunun Shiny Hunters'ın saldırısıyla aynı olduğunu açıkladı.
AT&T, BleepingComputer'a bir kez daha, sızdırılan verilerin onlardan kaynaklanmadığını ve sistemlerinin ihlal edildiğine dair herhangi bir işaret bulunmadığını söyledi.
Telekomünikasyon devi, dahili bir soruşturmanın ardından 30 Mart 2024'te, ifşa edilen verilerin 7,6 milyon mevcut AT&T hesap sahibine ve yaklaşık 65,4 milyon eski hesap sahibine ait olduğunu itiraf etti.
Şirket ayrıca sızıntıda 7,6 milyon müşterinin AT&T şifrelerinin de açığa çıktığını söyledi.
Yapılandırıldığında bu parolalar, müşteri desteği almak veya hassas hesap değişiklikleri gerçekleştirmek için gereklidir. Ancak bu verilerin tehdit aktörlerine ifşa edilmesi, saldırganların hesaplara daha kolay erişmesine olanak tanıyabilirdi.
AT&T ayrıca sızdırılan verilerin 2019 ve daha öncesine ait olduğuna inandıklarını ancak bunun kendi sistemlerinden mi yoksa bir ortaktan mı geldiğini belirleyemediklerini söyledi.
Firmanın sızdırılan verilerin kaynağı ve gerçekliği hakkındaki ilk ve sonraki inkarlar ve zamanında yapılan araştırmalarla kaynağı belirleme konusundaki başarısızlığı, müşterileri dolandırıcılık ve kimlik avı saldırılarına karşı daha uzun olmasa da neredeyse üç yıl boyunca yüksek bir riske maruz bıraktı.
Dean'in şikayeti, AT&T'nin yetersiz güvenlik önlemlerinin ve veri ihlaline ilişkin zamanında ve yeterli bildirimde bulunmamasının, müşterileri kimlik hırsızlığı ve çeşitli dolandırıcılık türleri de dahil olmak üzere önemli risklere maruz bıraktığını öne sürüyor.
Dava, AT&T'yi ihmal, zımni sözleşmenin ihlali ve haksız zenginleşmeyle suçluyor. Tazminat, tazminat, ihtiyati tedbir, AT&T'nin veri güvenliği protokollerinde iyileştirmeler, gelecekteki denetimler, şirket tarafından finanse edilen kredi izleme hizmetleri ve jüri tarafından yargılama talep ediyor.
Bir Morgan & Morgan sözcüsü BleepingComputer'a davayla ilgili şu yorumu gönderdi:
Ülkedeki en büyük telekomünikasyon şirketi olan AT&T'nin mevcut ve eski müşterilerinin hassas bilgilerini korumak gibi hayati bir görevi vardır.
AT&T'nin bu ihlale yol açtığı iddia edilen güvenlik açığını bildiğini ancak harekete geçmeyerek bunun gerçekleşmesine izin verdiğini iddia ediyoruz.
Ayrıca AT&T'nin, ihlalin bu yıl 30 Mart'a kadar gerçekleştiğini kabul etmeyerek, müşterilerin kişisel verilerinin iki buçuk yıldan fazla bir süre boyunca onların bilgisi dışında suçluların elinde kalmasına izin vererek sorunu daha da kötüleştirdiğini iddia ediyoruz.
AT&T'yi buna izin veren iddia edilen eylem ve eylemsizliklerinden sorumlu tutmak ve mahremiyetlerine yönelik bu saldırıdan etkilenen 73 milyon Amerikalının tamamı için adaleti sağlamak için mücadele edeceğiz. – Morgan & Morgan sözcüsü
BleepingComputer yukarıdaki konuyla ilgili bir açıklama yapmak için AT&T ile temasa geçti, ancak hâlâ bir yanıt bekliyoruz.
Son birkaç günde AT&T'ye karşı açılan benzer toplu davalar arasında davacılar Williamson, Escano, Collier ve Cumo da yer alıyor. Ancak gelecekte bunların birleştirilmesi muhtemeldir.