AT&T于周二與聯邦通信委員會(FCC)達成了一項1300萬美元的和解協議,以解決該機構對2023年1月第三方數據泄露事件的調查,此次事件導致890萬客戶的數據遭到泄露。
根據FCC的說法,作為和解協議的一部分,AT&T承諾加強其數據治理實踐和供應鏈安全。AT&T被要求保護、妥善處理并限制訪問客戶專有網絡信息,這類信息是無線運營商為內部使用和向第三方出售以用于營銷目的而收集的客戶賬戶數據。
“AT&T未能確保其供應商充分保護客戶信息,”FCC執法局局長Loyaan Egal在周二的同意令中表示。“相反,這些信息在供應商的云環境中保存了多年,而在應該刪除或歸還AT&T后仍然存在,最終在2023年的泄露事件中曝光。”
AT&T與FCC的和解涉及一次嚴重的泄露事件,但多次的安全失誤,包括幾乎暴露所有客戶數據的第三方泄露,顯示出一種模式。
AT&T表示,目前已不再與涉及2023年1月數據泄露的第三方供應商合作,并指出此次泄露的數據不包括信用卡信息、社會安全號碼或賬戶密碼。
“保護客戶數據仍然是我們的首要任務之一,”該公司發言人周二通過電子郵件表示。
“雖然我們的系統在此次事件中并未受到破壞,但我們正在加強內部管理客戶信息的方式,并對供應商的數據管理實踐實施新的要求,”發言人補充道。
ZK Research的創始人兼首席分析師Zeus Kerravala表示,AT&T同意的這些數據隱私治理改進應該早已成為其標準流程的一部分。
Kerravala說道:“有句老話是這樣說的,‘騙我一次,怪你,騙我兩次,怪我自己。’”
電信領域反復發生的泄露事件突顯出模式
AT&T并非唯一一家經歷大規模客戶數據泄露的電信運營商。
T-Mobile在2018年至2023年間公開承認了八起數據泄露事件,其中最嚴重的一次發生在2021年8月,導致至少7660萬人的個人數據被曝光。
電信網絡運營商由于持有敏感數據并服務于龐大的客戶群,成為網絡犯罪分子的高價值目標之一。AT&T在2024年第二季度實現了39億美元的凈收入,營收為298億美元。
2024年4月,一次針對AT&T的Snowflake環境的網絡攻擊,導致幾乎所有電信提供商的無線客戶數據遭到泄露,涉及約1.1億人。
AT&T是超過100家受到廣泛身份攻擊浪潮影響的Snowflake客戶之一,攻擊目標是該云端數據倉庫供應商的客戶。攻擊者在11天內訪問了AT&T的Snowflake環境,并竊取了2022年為期六個月的客戶通話和短信記錄。
在另一起發生于3月的事件中,AT&T表示,已經確認暗網泄露的數據包括約760萬現有客戶和約6540萬前客戶的敏感信息。
“AT&T的多次數據泄露事件應該給客戶敲響警鐘,除非安全運營進行大規模升級,否則很可能會再次發生泄露事件,”ZK Research的Zeus Kerravala表示。
“我們依賴手機來過我們的生活。我們通過移動設備進行溝通、購物、學習、聯系和娛樂,”Kerravala說。“客戶信任AT&T來保護他們的數據,而這家電信公司讓他們失望了。”
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號