Washington Eyaleti Başsavcısı Bob Ferguson, telekomünikasyon devini hassas kişisel bilgileri yeterince güvence altına almamakla suçlayarak T-Mobile’a karşı bir tüketici koruma davası açtı ve bu, Washington’da 2 milyondan fazla sakini etkileyen büyük bir veri ihlaline yol açtı.
Bugün King County Yüksek Mahkemesinde açılan dava, T-Mobile’ın ihmalinin tüketicileri dolandırıcılık ve kimlik hırsızlığına karşı savunmasız hale getirdiğini iddia ediyor.
T-Mobile’ın ihlal ettiği ihlal keşfedildi Ağustos 2021’de ülke çapında 2.025.634 Washingtonlu dahil 79 milyondan fazla kişinin kişisel verileri açığa çıktı.
Bunlar arasında 183.406 Washington sakininin Sosyal Güvenlik numaraları ele geçirildi. Telefon numaraları, isimler, adresler ve sürücü belgesi ayrıntıları gibi diğer hassas bilgiler de açığa çıktı.
Siber Güvenlik Risklerini Ele Almada Uzun Süredir Devam Eden Başarısızlık
Ferguson’un davasında, T-Mobile’ın siber güvenlik sistemlerindeki açıkların yıllardır farkında olduğu ancak defalarca yapılan uyarılara rağmen harekete geçmediği iddia ediliyor.
Davada, şirketin endüstri standartlarına uymadığı veya güvenlik tehditlerini tanımlamak ve azaltmak için uygun mekanizmalar kullanmadığı iddia ediliyor.
göre davahassas müşteri verilerini koruyan bazı hesaplar, bilgisayar korsanlarının erişim sağlamasına olanak tanıyan “açık” şifrelerle güvence altına alındı.
İhlal Mart ve Ağustos 2021 arasında gerçekleşti, ancak T-Mobile bundan ancak üçüncü bir tarafın müşteri bilgilerinin karanlık ağda satıldığı konusunda şirkete uyarıda bulunmasıyla haberdar oldu.
Ferguson, “Bu önemli veri ihlali tamamen önlenebilirdi” dedi. “T-Mobile’ın siber güvenlik sistemlerindeki önemli güvenlik açıklarını düzeltmek için yılları vardı ve başarısız oldu.”
Davanın iddialarına ek olarak, T-Mobile’ın tüketici verilerinin korunmasına yönelik taahhüdünü yanlış beyan ettiği iddiası da yer alıyor. Şirket, web sitesinde müşterilere şu güvenceyi verdi: “Arkanızı kolladık. Sizi ve ailenizi korumak ve verilerinizi güvende tutmak için her zaman çalışıyoruz.”
Bildirim ve Şeffaflık Konusunda Başarısızlık
Dava ayrıca T-Mobile’ı ihlalin ciddiyetini küçümsemekle ve etkilenen müşterileri yeterince bilgilendirmemekle suçluyor. Tüketicilere metin yoluyla gönderilen bildirimlerde, ihlalin kapsamı ve ele geçirilen veri türü de dahil olmak üzere kritik bilgiler yer almıyordu.
Bazı müşterilere risk düzeyleri konusunda yanlış bilgi verilirken, diğerleri Sosyal Güvenlik numaraları gibi hassas verilerin açığa çıkması konusunda hiç bilgilendirilmedi.
Örneğin, Sosyal Güvenlik numaraları ele geçirilen Washingtonlulara bu ifşayla ilgili herhangi bir ayrıntı verilmedi.
Ancak Sosyal Güvenlik numaraları ele geçirilmeyen müşterilere bu gerçeğin açıkça bildirilmesi tutarsızlık ve kafa karışıklığı yarattı.
Ferguson, bu şeffaflık eksikliğinin Washington sakinlerinin risklerini tam olarak anlamalarını ve kendilerini potansiyel kimlik hırsızlığı ve sahtekarlıktan korumak için adımlar atmalarını engellediğini savunuyor.
2021’deki ihlal münferit bir olay değildi. T-Mobile daha önce de birçok siber saldırının hedefi olmuştu ve 2020’de ABD Menkul Kıymetler ve Borsa Komisyonu’na yapılan kurumsal başvurular, şirketin gelecekte hedef olmayı beklediğini gösteriyordu.
Bu uyarılara rağmen dava, şirketin hassas verileri korumak için yeterli önlemleri uygulamadığını ileri sürüyor.
Ceza Talep Edilen Yasal İşlemler ve İyileştirilmiş Siber Güvenlik Uygulamaları
Başsavcı Ferguson tarafından açılan davada, T-Mobile’ın eylemlerinin Washington Tüketiciyi Koruma Yasası’nı ihlal ettiği iddia ediliyor.
Spesifik olarak, veri ihlalinin T-Mobile’ın sorumluluk eksikliğinin, siber güvenlik için en iyi uygulamalara uymamasının ve veri koruma önlemlerinin yanlış beyan edilmesinin doğrudan bir sonucu olduğunu iddia ediyor.
Ferguson, etkilenen Washington’lular için hukuki cezalar ve tazminatın yanı sıra T-Mobile’ı siber güvenlik politikalarını güçlendirmeye zorlamak için ihtiyati tedbir istiyor.
Dava, T-Mobile’ın siber güvenlik uygulamaları ve tüketicilere yönelik oluşturduğu riskler konusunda şeffaflığının artırılmasını talep ediyor.
Ferguson, “Bu dava, T-Mobile’ı sorumlu tutmak ve kişisel bilgilerin korunmasına yönelik sistematik başarısızlıklarını gidermelerini sağlamakla ilgilidir” dedi.
Dava, Avukat Yardımcısı Matt Hehemann, Hukuk Asistanı Luis Oida ve Araştırmacı Steuart Markley’nin desteğiyle, Başsavcı Yardımcısı Mina Shahin, Kathleen Box, Bret Finkelstein ve Gardner Reed’den oluşan özel bir hukuk ekibi tarafından yürütülüyor.
Başsavcı Ferguson’un ofisi, şirketlerin hassas kişisel bilgilerin korunmasından sorumlu tutulmasını sağlayarak tüketicinin korunmasını savunmaya devam ediyor. Bu davanın sonucu, ülke çapında veri güvenliği standartlarının iyileştirilmesine yönelik önemli bir adım olabilir.
ANY.RUN Threat Intelligence Lookup - Extract Millions of IOC's for Interactive Malware Analysis: Try for Free