Pixabay.com
Gerd Altmann

$500 млн. глоба за "един от най-големите течове на данни в историята на САЩ"

350 милиона от тях T-mobile ще отдели във фонд за уреждане на иска, а "поне 150 милиона долара - за подобряване на сигурността до 2023 г."

от Иван Гайдаров

26 юли 2022 11:00

Pixabay.com

През 2021 г. T-Mobile допусна компрометирането на чувствителната лична информация на повече от 76 милиона настоящи, бивши и бъдещи клиенти. Случай, който ищците в колективния иск определят като "един от най-големите и най-последователните случаи на нарушения по отношение на личните данни в историята на САЩ". Според тях компанията не само е изложила на неоторизиран достъп личните им данни, но и е продължавала да печели от тази чувствителна информация, докато съдебното дело е в ход.

Сега от T-Mobile обявиха, че въпреки че не признават вина, са готови да сключат споразумение, според което трябва да платят 500 милиона долара. Въпросното споразумение очаква одобрение от съдебния състав. 350 милиона долара по него ще отидат във фонда за уреждане на иска, а "поне 150 милиона долара - за подобряване на мерките за сигурност на данните до 2023 г."

От T-Mobile все още не са обявили какви ще бъдат новите мерки, но обръщат внимание на последните такива, взети в рамките на годината. Те включват създаване на Офис за трансформация на киберсигурността, който се отчита директно на изпълнителния директор на T-Mobile Майк Сиверт; сътрудничество с доставчици на услуги за киберсигурност; засилване на обучението на служителите в сферата на киберсигурността; и инвестиране на "стотици милиони долари за подобряване на настоящите ни инструменти и възможности за киберсигурност".

Според споразумението T-Mobile ще има 10 дни, за да преведе средства към ищците.

Грешките на T-Mobile

Според ищците по делото T-Mobile е нарушила условията на собствените си политики за поверителност, като не е подала навреме информация за пробива и, на първо място, не е изградила подходящи предпазни мерки за защита на потребителските данни. В жалбата си те споделят текстови съобщения и имейли, изпратени от T-Mobile, в които се казва, че има изтичане на данни, без обаче да става ясно, че сред изтеклата информация са и социалноосигурителните номера на техните клиенти. В допълнение от T-Mobile дори изпратиха известия, които акцентират, че тази ключова за САЩ лична информация не е достъпена от зловредните играчи. Това противоречие навежда на мисълта, че телекомът умишлено е скрил подробностите за пробива.

От технологична гледна точка най-голямо впечатление прави обвинението, че T-Mobile не е предприела дори елементарни стъпки за защита на данните като "ограничаване на скоростта" - подход, който предпазва сървърите при прекалено много заявки наведнъж.

Топ 5 на случаите на изтичане на данни

1. Yahoo

Yahoo не само е на първо място в тази негативна класация, но и в по-широкия вариант - топ 10, влиза два пъти. Компанията за първи път обяви публично инцидента, който според нея се е случил през 2013 г., през декември 2016 г. По това време тя беше в процес на придобиване от Verizon и може би затова занижи броя на засегнатите акаунти до един милиард. По-малко от година по-късно Yahoo обяви, че действителната цифра на компрометираните потребителски акаунти е 3 милиарда.

Въпреки пробивът сделката с Verizon беше завършена, макар и на намалена цена, но малко по-късно стана ясно, че компанията е станала жертва на втора атака - този път през 2014 г., при която са пробити 500 милиона акаунта - имена, имейл адреси, телефонни номера, хеширани пароли и дати на раждане.

2. Alibaba

През 2019 г. в продължение на осем месеца разработчик, работещ в маркетинг екипа на Alibaba, краде клиентски данни, включително потребителски имена и мобилни номера, от уебсайта за пазаруване на компанията Taobao, използвайки създаден от него софтуер. Засегнати са 1.1 млрд. записа потребителска информация, но според документацията по делото разработчикът и поръчителят са събирали информацията за собствена употреба, тъй като не са я продавали на черния пазар. И двамата са осъдени на три години затвор.

3. LinkedIn

През юни 2021 г. професионалната социална мрежа LinkedIn обяви, че е открила данни, свързани със 700 милиона потребители, публикувани във форум в тъмната мрежа. Този случай, в който хакер, наричан God User, използва инструменти за извличане на данни, като експлоатира API на социалната мрежа, фактически засяга 90% от потребителска база на платформата. И въпреки че от LinkedIn твърдят, че тъй като не са били разкрити чувствителни лични данни, инцидентът е нарушение на нейните правила, а не случай на изтичане на данни, масивът съдържа имейл адреси, телефонни номера, записи за геолокация, пол на потребителя и други подробности за поведението му в социалните медии. Подобна информация би дала на злонамерените играчи достатъчно данни за организирането на последващи кампании за социално инженерство.

4. Sina Weibo

През март 2020 г. една от най-големите китайски социални мрежи - Sina Weibo, обяви, че хакери са получили нерегламентиран достъп до база данни за 538 милиона акаунта. Тя включва истински и потребителски имена на профилите, пол, данни за местоположение и телефонни номера. Базата данни е продадена в тъмната мрежа за 250 долара.

В свое изявление от Sina Weibo обясняват, че нападателят е събрал публично достъпна информация, като е използвал услуга, предназначена да помогне на потребителите да намерят акаунтите на приятелите си в платформата чрез въвеждане на техните телефонни номера. Според компанията не са засегнати пароли, но разкритите данни могат да се използват за свързване на акаунти с пароли, ако входната комбинация е използвана и в други сайтове.

5. Facebook

През април 2019 г. личните данни на 533 милиона потребители бяха откраднати от най-голямата платформа за социални медии Facebook (сега Meta). Откраднатата информация включва телефонни номера, имена на акаунти и идентификатори във Facebook. Точно две години по-късно (април 2021 г.) данните бяха публикувани безплатно в тъмната мрежа, което показва ново и истинско престъпно намерение около данните.