Verizon Communications a convenit să plătească o sumă de 16.000.000 de dolari către Comisia Federală de Comunicații (FCC) din SUA în legătură cu trei incidente de încălcare a datelor la subsidiara sa integral deținută, TracFone Wireless, suferite după achiziția sa din 2021.
TracFone este un furnizor de servicii de telecomunicații care oferă servicii prin intermediul Total by Verizon Wireless, Straight Talk și Walmart Family Mobile, printre altele.
Pe lângă penalizarea civilă consistentă, acordul de reglementare anunțat necesită firmei de comunicații să implementeze măsuri specifice pentru a crește nivelul de securitate a datelor pentru clienții săi în viitor.
Încălcările de date la TracFone au avut loc între 2021 și 2023, implicând trei incidente separate.
Primul incident, numit incidentul ‘Cross-Brand’, a fost raportat de către TracFone pe 14 ianuarie 2022. Compania l-a descoperit în decembrie 2021, dar investigația a arătat că actorii amenințării au avut acces la datele clienților începând din ianuarie 2021.
Având acces la informații sensibile, inclusiv informații de identificare personală (PII) și informații de rețea proprietare ale clienților (CPNI), actorii amenințării au efectuat un număr mare de aprobări neautorizate de solicitări de transfer de numere.
„În legătură cu acest incident, actorii amenințării au exploatat anumite vulnerabilități legate de autentificare și un număr limitat de API-uri,” se arată în decret.
„Exploatând acele vulnerabilități, actorii amenințării au putut obține acces neautorizat la anumite informații ale clienților.”
Celelalte două incidente de încălcare a datelor se referă la site-urile de comenzi TracFone, raportate la 20 decembrie 2022, respectiv 13 ianuarie 2023.
În ambele cazuri, actorii amenințării neautentificați au exploatat o vulnerabilitate pentru a accesa informații despre comenzi, inclusiv anumite CPNI și alte date ale clienților.
„Actorii amenințării au folosit două metode diferite pentru a exploata vulnerabilitatea (trecând la o a doua metodă atunci când TracFone a blocat cu succes prima),” explică documentul decretului FCC.
„TracFone a implementat în cele din urmă o soluție pe termen lung pentru vulnerabilitatea subiacentă până în februarie 2023.”
Numărul persoanelor expuse și incidentele de schimbare a SIM-ului au fost cenzurate în versiunea publică a documentului de Consimțământ Decret.
Acordul de reglementare prevede că TrackFone va trebui să implementeze următoarele măsuri până în 28 februarie 2025:
BleepingComputer a contactat Verizon și TracFone pentru a întreba câți clienți au fost afectați, dar nu am primit un răspuns.
Poliția din Irlanda de Nord se confruntă cu o amendă de 750.000 de lire sterline după ce a expus informațiile personalului
Agenția de Înregistrare a Terenurilor din Grecia a fost încălcată într-un val de 400 de atacuri cibernetice
SUA impune sancțiuni activiștilor ruși care au încălcat facilitățile de apă
Spania arestează trei persoane care au folosit platforma de activiști cibernetici DDoSia
Erori de securitate cibernetice ale utilizatorilor finali care vă pot costa milioane
Leave a Reply