Washington eyaleti, 2021 veri ihlalinde 2 milyondan fazla Washington sakininin hassas kişisel bilgilerini güvence altına alamadığı için T-Mobile’a dava açtı.
Davanın tarihi, T-Mobile’ın saldırganların kurumsal ağına zorla sızdığını ve ülke çapında 79 milyon kişinin hassas bilgilerine erişim sağladığını itiraf ettiği Ağustos 2021’e kadar uzanıyor.
Ancak veri ihlali Mart 2021’de başladı ve kötü niyetli etkinlik sonraki altı ay boyunca fark edilmedi.
T-Mobile, ihlalden ancak müşteri verileri karanlık ağda göründükten sonra haberdar oldu. Washington Başsavcısı Bob Ferguson’a göre telekomünikasyon devi, ihlalin ciddiyetini küçümsemeyi seçti ve etkilenen kişilere zamanında bildirimde bulunmadı.
AG’nin duyurusunda “Veri ihlalini öğrendiğinde T-Mobile’ın etkilenen tüketicilere yaptığı bildirim birçok açıdan yetersizdi” denildi.
“Mevcut müşteriler kısa, kritik ve yasal olarak gerekli bilgileri içermeyen kısa mesajlar aldı ve bazı durumlarda ihlalin ciddiyeti konusunda müşterileri yanılttı.”
“Ayrıca, Sosyal Güvenlik numaraları ifşa edilen mevcut müşterilere bu tehdide ilişkin herhangi bir bilgi verilmedi.”
Ferguson, bu ihlalin, T-Mobile’ın tehdit aktörlerinin hedefinde kaldığını gösteren bir dizi önceki siber saldırının ardından geldiğini, ancak firmanın bu olayın gerçekleşmesini önlemek için uygun güvenlik önlemlerini uygulama konusunda başarısız olduğunu iddia ediyor.
Bu durum, T-Mobile’ın Çin devleti destekli aktörler “Salt Typhoon” tarafından tehlikeye atıldığı 2024 yılına kadar devam etti. Ancak telekomünikasyon firması, bu ihlalin bir parçası olarak hiçbir müşteri verisine erişilmediğini söylüyor.
King Country Yüksek Mahkemesinde açılan davada ayrıca T-Mobile’ın siber güvenlik yeteneklerini yanlış tanıttığı ve müşterilere verileriyle ilgili yanlış bir güvenlik ve emniyet hissi verdiği iddia ediliyor.
Yasal işlem şimdi, T-Mobile’ın endüstri standartlarını karşılamak ve veri ihlalleri meydana geldiğinde şeffaflığı ve müşteri iletişimini geliştirmek için siber güvenlik uygulamalarını güçlendirmesini zorunlu kılan bir mahkeme kararı istiyor.
Davada aynı zamanda Tüketiciyi Koruma Kanununun ihlaline ilişkin hukuki cezaların onaylanması ve ihlalden dolayı zarara uğrayan etkilenen müşterilere tazminat ödenmesi de talep ediliyor.
Ek olarak, T-Mobile’a iddia edilen aldatıcı uygulamalar yoluyla elde edilen mali kazançları teslim etmesi emredilebilir.
BleepingComputer, Washington AG davasıyla ilgili bir açıklama talep etmek üzere T-Mobile ile temasa geçti ve bir sözcü bize aşağıdaki yorumu gönderdi:
T-Mobile, “Washington AG’nin ofisi ile 2021’deki bu olay hakkında son birkaç yıldır çok sayıda görüşme yaptık ve hatta Kasım ayı sonlarında görüşmelere devam etmek için iletişime geçtik, bu nedenle ofisin dün dava açma kararı sürpriz oldu.” BleepingComputer’a söyledi.
“Yaklaşımları ve başvurudaki iddialarla aynı fikirde olmasak da, daha fazla diyaloğa açığız ve FCC ile daha önce yaptığımız gibi bu sorunu çözme fırsatını memnuniyetle karşılıyoruz. Ayrıca T-Mobile’ın dünyamızı nasıl temelden dönüştürdüğünü paylaşmayı da sabırsızlıkla bekliyoruz.” Müşterilerimizi daha fazla korumak için son dört yıldır siber güvenliğe yaklaşımımız.”