پرداخت ۱۳ میلیون دلاری ای تی اند تی به کمیسیون ارتباطات فدرال آمریکا

به گزارش کارگروه بین الملل خبرگزاری سایبربان، این تحقیق بر روی یک حادثه در ژانویه ۲۰۲۳ متمرکز بود که در آن هکرها به محیط ابری یکی از تأمین‌کنندگان ای تی اند تی (AT&T) نفوذ کرده و حجم زیادی از اطلاعات مشتریان را سرقت کردند.

کمیسیون ارتباطات فدرال در حال بررسی این موضوع بود که آیا ای تی اند تی به‌قدر کافی برای جلوگیری از این حمله و به طور کلی حفظ امنیت داده‌های مشتریان اقدام کرده است یا خیر.

ای تی اند تی که در سه‌ماهه گذشته نزدیک به ۳۰ میلیارد دلار درآمد گزارش کرده بود، با این توافق ۱۳ میلیون دلاری موافقت کرد و به یک حکم توافقی وارد شد که این شرکت را ملزم می‌کند تا شیوه‌های مدیریت داده خود را تقویت کند، یکپارچگی زنجیره تأمین خود را افزایش دهد و از وجود رویه‌های مناسب برای مدیریت داده‌های حساس اطمینان حاصل کند.

جسیکا روزنوورسِل، رئیس کمیسیون ارتباطات فدرال، بیان کرد که قانون ارتباطات تعیین می‌کند شرکت‌هایی مانند ای تی اند تی، وظیفه دارند حریم خصوصی و امنیت داده‌های مشتریان را حفظ کنند، و این مسئولیت در عصر دیجیتال معانی جدیدی برای سرقت داده‌ها پیدا می‌کند.

سخنگوی ای تی اند تی اظهار کرد که این شرکت در مارس ۲۰۲۳ شروع به اطلاع‌رسانی به قربانیان حادثه کرده و اطلاعات به سرقت رفته شامل تعداد خطوط تلفن در یک حساب بوده است.

این داده‌ها مربوط به مشتریان بی‌سیم بودند.

لوئان ایگال، رئیس دفتر اجرای کمیسیون ارتباطات فدرال، افزود که ارائه‌دهندگان خدمات موظف‌اند سطح حملات و نقاط ورودی را که عوامل تهدید ممکن است برای دسترسی به داده‌های حساس مشتریان استفاده کنند، کاهش دهند.

بر اساس این توافق، ای تی اند تی موظف است یک برنامه موجودی داده ایجاد کند که داده‌های مشتریان را ردیابی کند، کنترل‌ها و نظارت بیشتری بر تأمین‌کنندگان اعمال کند، یک برنامه امنیت اطلاعات ایجاد کند، ممیزی‌های سالانه تطابق انجام دهد و تأمین‌کنندگان را ملزم به رعایت الزامات نگهداری و حذف داده‌ها کند.

کمیسیون ارتباطات فدرال استدلال کرد که با توجه به اندازه ای تی اند تی، این شرکت باید بیش از مبلغ جریمه مدنی برای رعایت حکم توافق هزینه کند.

تأمین‌کننده‌ای که دچار نقض امنیتی شد، محتوای ویدیویی شخصی‌سازی‌شده برای مشتریان ای تی اند تی ایجاد و میزبانی می‌کرد و ویدیوهای مربوط به صورتحساب و بازاریابی تولید می‌کرد.

طبق قرارداد با ای تی اند تی، این تأمین‌کننده موظف بود هرگونه اطلاعات مشتری را که به او داده شده بود، تخریب یا بازگرداند، اما ای تی اند تی در این مورد تأییدیه نگرفته بود.

روزنوورسِل و کمیسیون ارتباطات فدرال در سال‌های اخیر بر روی بهبود روش‌های امنیت سایبری غول‌های ارتباطی تمرکز کرده‌اند و هشدار داده‌اند که با توجه به افزایش حجم اطلاعات جمع‌آوری‌شده، بهبود روش‌های امنیتی ضروری‌تر شده است.

در سال ۲۰۲۳، یک کارگروه حفاظت از داده‌ها در کمیسیون ارتباطات فدرال توافقات مشابهی با شرکت ورایزن در ماه ژوئیه به دست آورد.

در همان زمان، فاش شد که ای تی اند تی به هکرهایی که متادیتای تقریباً تمامی گزارش‌های تماس و پیام‌های متنی مشتریان خود را طی یک دوره شش‌ماهه در سال ۲۰۲۲ به دست آورده بودند که حدود ۱۰۹ میلیون نفر را تحت تأثیر قرار داد، باج پرداخت کرده است.

این حادثه پس از یک حمله سایبری دیگر رخ داد که طی آن اطلاعات ۷۳ میلیون مشتری فعلی و سابق سرقت شد.