Der US-Bundesstaat Washington hat T-Mobile wegen Vorwürfen verklagt, der Telefonriese habe es versäumt, die persönlichen Daten von Millionen Einwohnern des Staates zu schützen vor einem Datenverstoß im August 2021davon waren mehr als 79 Millionen Kunden in den Vereinigten Staaten betroffen.
In eine Aussage Bei der Ankündigung der Klage sagte der Washingtoner Generalstaatsanwalt Bob Ferguson, dass T-Mobile „seit Jahren über bestimmte Cybersicherheitslücken Bescheid wusste und nicht genug getan hat, um diese zu beheben“. Ferguson sagte, die Klage strebe finanziellen Schadensersatz im Rahmen der Verbraucherschutzgesetze des Bundesstaates an und ordne T-Mobile an, seine Cybersicherheitsrichtlinien zu verbessern.
Der Hack gegen T-Mobile im August 2021 war der jüngste in einer Reihe von Datenschutzverletzungen im Unternehmen in den letzten Jahren, wobei mindestens fünf Sicherheitsvorfälle bis ins Jahr 2018 zurückreichten von TechCrunch zählen. Der Verstoß ermöglichte es einem Hacker, auf die Systeme von T-Mobile zuzugreifen und Kundennamen, Geburtsdaten und Sozialversicherungsnummern sowie Führerscheininformationen auszuspionieren. Einige der von T-Mobile-Kunden gestohlenen Daten wurden später in einem bekannten Forum für Cyberkriminelle veröffentlicht.
Ferguson warf T-Mobile vor, die betroffenen Kunden nach dem Verstoß nicht ausreichend informiert zu haben, da „kritische Informationen weggelassen und die Schwere heruntergespielt wurden“, was laut Ferguson die Fähigkeit der Verbraucher beeinträchtigte, das Risiko von Identitätsdiebstahl oder Betrug einzuschätzen.
„Diese erhebliche Datenschutzverletzung war vollständig vermeidbar“, sagte Ferguson in der Pressemitteilung. „T-Mobile brauchte Jahre, um große Schwachstellen in seinen Cybersicherheitssystemen zu schließen – und scheiterte.“
DER Klageeingereicht bei einem Bundesgericht in Seattle, enthielt erhebliche Schwärzungen Die Beschwerde verschleiert spezifische technische Details des Hacks vom August 2021, die Beschwerde scheint jedoch angebliche technische Sicherheitsmängel und interne Unternehmensrichtlinien detailliert zu beschreiben, die es dem Hacker möglicherweise erleichtert haben, auf Kundendaten von den Servern von T-Mobile zuzugreifen und diese herunterzuladen.
In den ungeschwärzten Teilen heißt es, dass der Hacker, der es auf T-Mobile abgesehen hatte, einen „leicht zu erratenden Benutzernamen und ein Passwort“ entdeckte; dass T-Mobile „schwache Anmeldeinformationen“ für Konten verwendet habe, um auf seine internen Systeme zuzugreifen; und dass T-Mobile „der IP-Adresse des Bedrohungsakteurs erlaubte, eine Verbindung“ von außerhalb seines Netzwerks herzustellen. In der Beschwerde heißt es außerdem, dass T-Mobile keine Ratenbegrenzung für Anmeldeversuche implementiert habe, sodass der Hacker beliebig viele Anmeldeinformationen testen könne, ohne die Konten der betreffenden Mitarbeiter zu sperren.
In der Klage wird außerdem behauptet, dass die „unzureichende Überwachungs- und Alarmierung“ des Unternehmens es dem Hacker erleichtert habe, unbemerkt auf das Netzwerk von T-Mobile zuzugreifen.
In der Beschwerde von Ferguson heißt es weiter, dass die öffentlichen Äußerungen von T-Mobile die Angemessenheit seiner Cybersicherheitsmaßnahmen und die Bedrohung der im Dark Web gefundenen Kundendaten von T-Mobile falsch dargestellt hätten, und dass das Verhalten des Unternehmens „die Fähigkeit hatte, eine beträchtliche Anzahl von Verbrauchern in Washington zu betrügen“. ”
Als ein T-Mobile-Sprecher am Montag kontaktiert wurde, äußerte er sich zunächst nicht zu der Klage.
