T-Mobile sufrió una segunda demanda en 2021 por una violación de datos que afectó a 80 millones de usuarios de T-Mobile. Demanda de Protección al Consumidor El fiscal general del estado de Washington, Bob Ferguson, dijo que T-Mobile necesitó años para “reparar vulnerabilidades fundamentales” que podrían haber evitado la violación de datos.
Según Ferguson, T-Mobile sabía que había ciertas vulnerabilidades de ciberseguridad en sus sistemas y la empresa no hizo lo suficiente para solucionarlas. T-Mobile también está acusada de engañar a los clientes sobre sus prácticas de seguridad, no notificar a los habitantes de Washington sobre la violación de datos de manera oportuna y restar importancia a la gravedad de la violación.
En los años previos a agosto de 2021, T-Mobile no cumplía con los estándares de ciberseguridad de la industria y estaba al tanto de estas vulnerabilidades. Estos incluyen procesos inadecuados para identificar y remediar amenazas a la seguridad y la falta de controles sistemáticos. En algunos casos, T-Mobile utilizó contraseñas específicas para proteger cuentas que tenían acceso a la información personal de los clientes. La violación de 2021 se permitió, en parte, cuando un pirata informático adivinó credenciales específicas para acceder a las bases de datos internas de T-Mobile.
Los sistemas de T-Mobile fueron vulnerados en marzo de 2021, pero T-Mobile no se enteró del ataque hasta agosto de 2021. Los piratas informáticos pudieron obtener nombres, números de teléfono, direcciones, fechas de nacimiento, números de seguro social, licencia de conducir e información de identificación, e IMEI. Números y números IMSI de clientes de T-Mobile y esta información se vende.
El pirata informático detrás del ataque dijo que la seguridad de T-Mobile era “terrible” y que la infracción se produjo cuando se descubrió un enrutador de T-Mobile no seguro, lo que condujo al acceso al centro de datos de T-Mobile en Washington, D.C.
T-Mobile se disculpó por la violación de datos y se comprometió a prevenir futuros ataques estableciendo una asociación a largo plazo con expertos en ciberseguridad.
La demanda busca medidas cautelares para obligar a T-Mobile a mejorar sus prácticas de ciberseguridad y pagar una compensación a los habitantes de Washington perjudicados por la violación de datos.
T-Mobile ya pagó 350 millones de dólares para resolver una demanda colectiva por la violación de datos en 2022 y el Comité de Inversión Extranjera de Estados Unidos (CFIUS) le ordenó impedir el acceso no autorizado a datos confidenciales de sus clientes o recibió una multa de 60 dólares. millones por no divulgación. .
