AT&T, yaklaşık dokuz milyon müşterinin kişisel bilgilerini tehlikeye atan önemli bir veri ihlalinin ardından Federal İletişim Komisyonu (FCC) ile 13 milyon dolarlık bir anlaşmaya vardı. Bu AT&T veri ihlali, Ocak 2023’te meydana geldi ve firma tarafından istihdam edilen üçüncü taraf satıcılar tarafından müşteri verilerine yetkisiz erişim ve satış içeriyordu.
FCC tarafından paylaşılan bir onay kararnamesine göre AT&T, “müşterinin özel bilgilerinin (PI) gizliliğini koruma görevini yerine getirmede başarısız oldu” ve “müşterinin onayı olmadan, bireysel olarak tanımlanabilir müşteri bilgilerini uygunsuz bir şekilde kullandı, ifşa etti veya bunlara erişime izin verdi.”
2023 AT&T Veri İhlalinin Arka Planı
İhlal, müşteri verilerini yönetmekten sorumlu olan AT&T’nin üçüncü taraf satıcılarının hassas kişisel bilgileri kötüye kullandıklarının bulunmasıyla başladı. Bu ihlal, öncelikle telefon numaraları, isimler ve belirli hizmetle ilgili bilgiler gibi ayrıntıları içeren Müşteriye Özel Ağ Bilgilerini (CPNI) içeriyordu. Müşteri hizmeti ve desteği sağlamak üzere işe alınan satıcılar, bu verilere uygun yetkilendirme olmadan erişti ve bunları harici taraflara satarak milyonlarca AT&T müşterisini riske attı.
AT&T’nin satıcıları, AT&T cihazlarının kilidini açmayı kolaylaştırmak ve SIM kartlarını ağ kısıtlamalarını aşmak için yeniden sattıkları SIM takaslarında yardımcı olmak için bu CPNI verilerine erişim sağladı. FCC raporunun belirttiği gibi, yetkisiz kişiler telefonların kilidini açmak ve karaborsada satmak için bu verileri satın aldı ve kötü niyetli kişilerin kişisel bilgileri veya parayı çalmak için bir müşterinin telefon numarasını ele geçirdiği SIM takas dolandırıcılıklarının artmasına katkıda bulundu.
FCC’nin Soruşturması ve Bulguları
FCC, kimlik hırsızlığı ve SIM takas dolandırıcılığıyla ilgili olaylar da dahil olmak üzere birkaç müşterinin şüpheli etkinlik bildirmesinin ardından 2023 veri ihlaliyle ilgili kapsamlı bir soruşturma başlattı. Soruşturma, AT&T’nin üçüncü taraf tedarikçilerinin uygun izin olmadan yaklaşık 9 milyon müşterinin CPNI’sine eriştiğini ve kötüye kullandığını ortaya koydu. Ayrıca, AT&T’nin bu hassas müşteri bilgilerini yeterli şekilde korumada başarısız olduğu ve dolayısıyla FCC’nin CPNI korumasını çevreleyen kurallarını ihlal ettiği bulundu.
FCC, soruşturmasının bir parçası olarak, ihlalin AT&T’nin veri güvenliği uygulamalarındaki zaafları açığa çıkardığını buldu. AT&T’nin güçlü denetim mekanizmaları olmayan üçüncü taraf satıcılara güvenmesi, müşteri verilerinin kötüye kullanılmasının kolaylığına katkıda bulundu. FCC, AT&T’nin bu verilere yetkisiz erişimi ve satışını önlemek için daha sağlam güvenlik önlemleri uygulaması gerektiğini savundu; bu da İletişim Yasası’nın ihlalidir.
AT&T’nin Uzlaşma ve Çözüm Önlemleri
Soruşturmayı çözmek ve daha fazla yasal sonuçtan kaçınmak için AT&T, FCC’ye 13 milyon dolar para cezası ödemeyi kabul etti. Anlaşma, ihlalin ciddiyetini ve milyonlarca müşteriye zarar verme potansiyelini yansıtıyor. Şirket suçunu kabul etmedi ancak mali cezaya razı oldu ve gelecekte bu tür olayların tekrarlanmasını önlemek için bir dizi gelişmiş güvenlik önlemi uygulamaya söz verdi.
Anlaşmanın şartlarına göre AT&T’nin müşteri verilerini korumak için yeni güvenlik önlemleri eklemesi de gerekiyor. Bu önlemler arasında üçüncü taraf satıcıların denetiminin sıkılaştırılması, daha sıkı erişim kontrollerinin uygulanması ve veri yönetim sistemlerindeki güvenlik açıklarını tespit edip gidermek için düzenli güvenlik denetimleri yapılması yer alıyor.
Müşteriler Üzerindeki Etki ve Daha Geniş Etkiler
2023 veri ihlali milyonlarca AT&T müşterisini etkileyerek kimlik hırsızlığı, hesaplarına yetkisiz erişim ve finansal dolandırıcılık gibi risklere maruz bıraktı. Müşteriler kişisel verilerinin nasıl işlendiği konusunda endişelerini dile getirdiler ve artık gelecekte benzer ihlallerin meydana gelmesinden çekiniyorlar. Bu endişeleri azaltmak için AT&T, ihlalden etkilenenler için ücretsiz kimlik hırsızlığı koruma hizmetleri de dahil olmak üzere çeşitli müşteri odaklı girişimler başlattı.
Anlaşma ayrıca diğer telekomünikasyon sağlayıcılarına müşteri verilerinin güvenliğini sağlamanın önemi konusunda bir uyarı niteliğindedir. FCC, şirketlerin özellikle hassas müşteri bilgilerini işleyen üçüncü taraf satıcılarla çalışırken veri koruma uygulamalarında dikkatli olmaları gerektiğini vurguladı.