انتشار شده در تاریخ 1403/10/19 - 10:43

شکایت ایالت واشنگتن از تی-موبایل

ایالت واشنگتن از تی-موبایل شکایت کرده است و ادعا می‌کند که ضعف در عملکرد امنیت سایبری این شرکت منجر به هک شدن اطلاعات حساس بیش از ۲ میلیون نفر از ساکنان این ایالت شده است.

به گزارش کارگروه بین الملل خبرگزاری سایبربان، این شکایت که روز دوشنبه اعلام شد، مدعی است که این غول ارتباطات از ضعف‌های امنیت سایبری خود برای سال‌ها آگاه بوده اما برای رفع آن‌ها اقدامی نکرده است.

به گفته دادستان کل واشنگتن، باب فرگوسن، این شرکت با ادعای حفاظت از داده‌های مصرف‌کنندگان، مشتریان را گمراه کرده و اطلاعات لازم در مورد نفوذ سال 2021، از جمله اینکه چه اطلاعاتی هک شده، را به درستی اعلام نکرده است.

این شکایت به دنبال جریمه‌های مدنی علیه این شرکت است.

در سپتامبر گذشته، تی-موبایل (T-Mobile) به پرداخت جریمه‌ای به مبلغ ۳۱.۵ میلیون دلار و تقویت تدابیر امنیت سایبری خود به‌عنوان بخشی از توافق گسترده‌ای با کمیسیون ارتباطات فدرال (FCC) تن داد.

کمیسیون مدعی شد که ضعف‌های امنیت سایبری این شرکت نه تنها به نفوذ سال 2021 بلکه به هک‌های دیگری در سال‌های 2022 و 2023 نیز منجر شده است.

طبق این توافق، کمیسیون ارتباطات فدرال دستور داد که تی-موبایل تدابیر امنیتی شبکه اعتماد صفر (Zero-Trust) و احراز هویت چندعاملی را که پیش از این وجود نداشت، اجرا کند.

طبق بیانیه دادستان کل واشنگتن، این نفوذ منجر به افشای اطلاعات شخصی 79 میلیون مشتری تی-موبایل در سراسر ایالات متحده شد.

در ایالت واشنگتن، اطلاعات مربوط به بیش از ۲ میلیون نفر، شامل شماره تأمین اجتماعی (SSN) 183 هزار نفر، در این حمله افشا شد.

همچنین، شماره تلفن‌ها، نام‌ها، آدرس‌های فیزیکی و اطلاعات گواهینامه‌های رانندگی نیز در این حمله به بیرون درز کرد.

یک سخنگوی تی-موبایل در واکنش به این شکایت اظهار کرد که شرکت از این اقدام ایالت شگفت‌زده شده است، زیرا بیش از یک بار با دفتر دادستان کل درباره این حادثه گفت‌وگو کرده و حتی در ماه نوامبر برای ادامه بحث‌ها تماس گرفته است.

او افزود:

در حالی که ما با این رویکرد و ادعاهای مطرح‌شده مخالفیم، اما آماده گفت‌وگو هستیم و از فرصت برای حل این مسئله استقبال می‌کنیم، همان‌طور که پیش‌تر با کمیسیون ارتباطات فدرال این کار را انجام دادیم. همچنین مشتاقیم نشان دهیم که تی-موبایل در چهار سال گذشته چگونه رویکرد خود را به امنیت سایبری به‌طور اساسی تغییر داده است تا مشتریان خود را بهتر محافظت کند.

سرقت اطلاعات در مارس 2021 آغاز و تا آگوست همان سال ادامه یافت.

نظارت امنیتی تی-موبایل آن‌قدر ضعیف بود که این شرکت تنها زمانی از نفوذ آگاه شد که یک فرد ناشناس آن‌ها را مطلع کرد که اطلاعات مشتریانشان در دارک وب برای فروش گذاشته شده است.

تی-موبایل به مشتریان خود درباره این نفوذ از طریق پیامک اطلاع داد، اما این پیام‌ها اطلاعات حیاتی و موردنیاز قانونی را حذف کرده و در برخی موارد مشتریان را در مورد شدت نفوذ گمراه کرده بود.

برخی مشتریان که شماره تأمین اجتماعی آن‌ها به خطر افتاده بود، از این مسئله مطلع نشدند، در حالی که به مشتریانی که شماره تأمین اجتماعی آن‌ها هک نشده بود، اعلام شد که اطلاعاتشان امن است.

فرگوسن در این باره اذعان کرد:

این نفوذ گسترده کاملاً قابل اجتناب بود. تی-موبایل سال‌ها زمان داشت تا ضعف‌های کلیدی سیستم‌های امنیت سایبری خود را برطرف کند، اما این کار را انجام نداد.

از جمله نقاط ضعف امنیتی تی-موبایل، می‌توان به فرآیندهای ناکافی برای شناسایی و رسیدگی به تهدیدات امنیتی، کمبود نظارت سیستماتیک بر امنیت سایبری و استفاده از رمزهای عبور واضح و قابل حدس برای محافظت از حساب‌هایی که حاوی داده‌های حساس شخصی بودند، اشاره کرد.

این شکایت علاوه بر جریمه‌های مدنی، خواستار تقویت برنامه امنیت سایبری تی-موبایل شده است.