已经解决了与联邦通信委员会 (FCC) 合作支付 3150 万美元一连串的违规行为发生在、2022 年和 2023 年。
和解金额的一半(即 1575 万美元)将作为网络安全投资重新注入公司。该基金将用于消除其安全缺陷并增强抵御网络威胁的能力。其余的是民事处罚。
这些违规行为影响了美国各地数百万客户,促使 FCC 展开调查,调查该公司是否未能履行保护客户数据的职责、未经客户同意允许访问可单独识别的客户专有网络信息 (CPNI),以及是否存在松懈。安全实践。
违规行为
第一起事件发生在 2021 年 8 月 21 日,当时黑客访问了该公司的网络和客户数据,例如姓名、地址、出生日期、社会安全号码、驾驶执照号码、设备标识符和帐户 PIN 码。
另一个威胁参与者成功获得了管理平台的访问权限T-Mobile的移动虚拟网络运营商 (MVNO),其中包含 2022 年底的客户信息。
2023 年初,一名网络犯罪分子窃取了T-Mobile他们获得了一个一线销售应用程序的帐户凭据,并在 COVID-19 大流行期间启用了远程访问,使他们能够查看某些客户数据。
2023 年 1 月,错误配置的权限设置允许威胁参与者获取客户帐户数据。
民事罚款将支付给美国财政部和T-Mobile需要在未来两年内花费 15,750,000 美元来改进其网络安全计划并实施合规计划,以保护消费者将来免受类似的违规行为。
T-Mobile将指定一名首席信息安全官,负责向董事会报告网络安全问题。它还旨在采用零信任安全框架来减少违规的影响半径,并实施防网络钓鱼的多因素身份验证(MFA)来增强网络的安全性。
该公司还决定对其信息安全实践进行独立的第三方评估。
美国联邦通信委员会称这一和解协议是“开创性的”,并希望它能向其他公司传达一个信息:如果他们不加强系统,将会产生后果。委员会此前已与TracFone 出价 1600 万美元,AT&T 出价 1300 万美元,用于解决违规调查。
和T-Mobile稳步为了扩大客户群,它现在拥有比以前更多的数据,这凸显了无懈可击的安全系统的重要性。
今天的和解协议中规定的广泛条款是在保护存储全国数百万客户敏感数据的网络方面向前迈出的重要一步。由于 T-Mobile 等公司和其他电信服务提供商在国家安全和消费者保护利益重叠的领域运营,我们致力于确保对电信网络进行关键技术变革,以改善我们的国家网络安全态势,并帮助防止美国人未来受到损害' 敏感数据。我们将继续要求 T-Mobile 负责履行这些承诺。
Loyaan A. Egal,首席执法局兼隐私和数据保护工作组主席,2024 年 9 月
