AT&T stemde ermee in een boete van $13 miljoen te betalen omdat het een detailhandelaar klantaccountgegevens had verstrekt om gepersonaliseerde video’s te maken, en er vervolgens niet voor zou hebben gezorgd dat de detailhandelaar de gegevens vernietigde toen deze niet langer nodig waren. Naast de boete heeft AT&T ingestemd met strengere controles op het delen van gegevens met leveranciers in een toestemmingsdecreet dat vandaag is aangekondigd door de Federal Communications Commission.
In januari 2023, jaren nadat de gegevens vernietigd hadden moeten worden, kreeg de leverancier te maken met een inbreuk “toen bedreigingsactoren toegang kregen tot de cloudomgeving van de leverancier en uiteindelijk AT&T-klantinformatie exfiltreerden”, aldus de FCC. Informatie met betrekking tot 8,9 miljoen draadloze AT&T-klanten werd openbaar gemaakt.
Telefoonbedrijven zijn wettelijk verplicht om klantinformatie te beschermen, en AT&T had niet uitsluitend moeten vertrouwen op de garanties van derden dat het gegevens vernietigde toen deze niet langer nodig waren, aldus de FCC.
“AT&T gebruikte een leverancier om gepersonaliseerde video-inhoud, inclusief facturerings- en marketingvideo’s, voor AT&T-klanten te genereren en te hosten”, aldus de FCC in een verklaring. “Volgens de contracten van AT&T was de detailhandelaar verplicht om de klantgegevens van AT&T te vernietigen of terug te sturen wanneer deze niet langer nodig waren om aan zijn contractuele verplichtingen te voldoen, die jaren vóór de inbreuk plaatsvonden. AT&T slaagde er niet in om ervoor te zorgen dat de detailhandelaar: (1) de klant adequaat beschermt gegevens, en (2) geretourneerd of vernietigd in overeenstemming met het contract.”
De gegevens “bleven vele jaren in de omgeving van de cloudprovider nadat ze hadden moeten worden verwijderd of teruggestuurd naar AT&T en uiteindelijk openbaar werden gemaakt” tijdens de inbreuk van januari 2023, aldus het Bureau of Enforcement van de FCC in het bevel.
De gegevens hadden in 2018 verwijderd moeten worden
AT&T vertelde de FCC dat het tussen 2015 en 2017 klantgegevens met de provider heeft gedeeld en dat de gegevens tegen 2018 “veilig vernietigd of verwijderd” hadden moeten zijn. De vrijgegeven gegevens omvatten “regelnummers voor alle getroffen klanten, rekeningsaldo en betalingsinformatie en de naam en functies van het tariefplan voor ongeveer één procent van de getroffen klanten”, aldus de FCC.
AT&T vertelde Ars vandaag dat de gegevens “geen creditcardgegevens, burgerservicenummers, accountwachtwoorden of andere gevoelige persoonlijke informatie bevatten.” AT&T zei dat het klanten in maart 2023 op de hoogte bracht van de inbreuk.
“AT&T verklaarde dat het de accounts van getroffen klanten na het incident heeft gecontroleerd en geen enkel bewijs heeft gevonden van fraude met AT&T-accounts of andere illegale of ongeoorloofde activiteiten die verband houden met de inbreuk”, aldus het instemmingsdecreet. “Volgens AT&T waren de tarieven voor fraude, portering, simkaarten en vervanging van apparatuur voor getroffen klanten na het incident consequent lager dan de tarieven voor de algemene populatie van AT&T Mobility-klanten voor alle accounttypen.”
Toen AT&T contact opnam met Ars, reageerde AT&T niet rechtstreeks op de bewering van de FCC dat zij er niet in was geslaagd klantinformatie te verstrekken aan beschermde aanbieders. AT&T gaf ons een verklaring waarin stond: “De leverancier die we eerder gebruikten, heeft vorig jaar een beveiligingsincident meegemaakt waarbij gegevens over een aantal van onze draadloze klanten openbaar werden gemaakt. Hoewel onze systemen bij dit incident niet in gevaar zijn gekomen, zijn we bezig met het verbeteren van de manier waarop we klantinformatie intern beheren.” , evenals het implementeren van nieuwe eisen in de datamanagementpraktijken van onze leveranciers.”