美國華盛頓州已經對T-Mobile提起訴訟,指控這家電信巨頭未能在2021年8月的數據洩露事件之前保護數百萬州民的個人數據,該事件影響了美國超過7900萬客戶。
華盛頓州檢察長鮑勃·費格森在宣布此訴訟時表示,T-Mobile“多年來一直知曉某些網絡安全漏洞,並沒有采取足夠措施加以解決”。費格森表示,該訴訟旨在根據該州的消費者保護法律尋求金融賠償,並要求T-Mobile改善其網絡安全政策。
2021年8月針對T-Mobile的黑客攻擊是該公司近年來一系列數據洩露事件中的最新一起,據TechCrunch統計,自2018年以來至少發生了五起安全事件。該次事件使黑客可以訪問T-Mobile的系統,並外泄客戶姓名、出生日期、社保號碼以及駕駛證信息。部分被盜的T-Mobile客戶數據隨後在已知的網絡犯罪論壇上發布。
費格森指責T-Mobile在事件發生後未向受影響客戶提供充分通知,該通知“遺漏了關鍵信息並淡化了嚴重性”,費格森稱這影響了消費者評估其身份盜竊或詐騙風險的能力。
新聞稿中引述費格森的話稱:“這次重大的數據洩露完全是可以避免的,” “T-Mobile有多年時間修復其網絡安全系統中的關鍵漏洞,但他們未能做到。”
這起訴訟已在西雅圖聯邦法院提起,其中包含大量遮蔽了2021年8月黑客攻擊具體技術細節的刪節部分,但該投訴似乎詳細說明了涉嫌的技術安全缺陷和內部公司政策,這可能使黑客更容易從T-Mobile的服務器中訪問和下載客戶數據。
未經刪節部分指出,針對T-Mobile的黑客發現一個“容易猜測的用戶名和密碼”;T-Mobile“在用於訪問其内部系統的帳戶上使用弱密碼”;T-Mobile“允許了來自威脅行為者的IP地址的連接”從其網絡之外。 該投訴還說T-Mobile未對任何登錄嘗試實施速率限制,使黑客可以自由地測試許多密碼,而不會導致鎖定相應的员工帐戶。
該訴訟還表示,該公司“不足的監控和警報配置”使黑客可以更容易地訪問T-Mobile的網絡而不被注意到。
費格森的投訴補充說,T-Mobile的公開聲明對其網絡安全防禦措施的充分性以及在暗網上找到的T-Mobile客戶數據的威脅進行了虛偽陳述,並說該公司的行為“有能力欺騙大量華盛頓州消費者。”
在發表前與TechCrunch聯繫時,T-Mobile未在新聞發布時提供評論。 在本文發布後,由T-Mobile發言人米歇爾·雅各布提供的聲明稱,該訴訟令他們“感到驚訝”。
“雖然我們不同意他們的方式和訴訟的主弞,但我們樂意進一步對話,並歡迎解決這個問題的機會,正如我們已經與FCC一樣做過,”該聲明說。
已更新包含T-Mobile的評論。
