Η Verizon Communications συμφώνησε με την Ομοσπονδιακή Επιτροπή Επικοινωνιών (FCC), να πληρώσει 16.000.000 δολάρια, σαν διακανονισμό για τρία περιστατικά παραβίασης δεδομένων στη θυγατρική της, TracFone Wireless, που συνέβησαν μετά την εξαγορά της το 2021.
Δείτε επίσης: Σοβαρή διακοπή περιαγωγής επηρεάζει AT&T, T-Mobile και Verizon
Η TracFone είναι ένας πάροχος τηλεπικοινωνιακών υπηρεσιών που προσφέρει υπηρεσίες μέσω των Total by Verizon Wireless, Straight Talk και Walmart Family Mobile, μεταξύ άλλων.
Εκτός από την αυστηρή ποινή, ο διακανονισμός απαιτεί από την εταιρεία επικοινωνιών να εφαρμόσει συγκεκριμένα μέτρα για να αυξήσει το επίπεδο ασφάλειας δεδομένων για τους πελάτες της στο μέλλον.
Οι παραβιάσεις δεδομένων στην TracFone σημειώθηκαν μεταξύ 2021 και 2023, και αφορούσαν τρία ξεχωριστά περιστατικά.
Το πρώτο, γνωστό ως «Cross-Brand», αναφέρθηκε από την TracFone στις 14 Ιανουαρίου 2022. Η εταιρεία το ανακάλυψε τον Δεκέμβριο του 2021, αλλά η έρευνα έδειξε ότι οι hackers είχαν πρόσβαση στα δεδομένα πελατών από τον Ιανουάριο του 2021. Με πρόσβαση σε ευαίσθητες πληροφορίες, συμπεριλαμβανομένων των προσωπικών πληροφοριών (PII) και των ιδιόκτητων πληροφοριών δικτύου πελατών (CPNI), οι κακόβουλοι φορείς πραγματοποίησαν μεγάλο αριθμό μη εξουσιοδοτημένων εγκρίσεων αιτημάτων μεταφοράς αριθμού.
«Σε σχέση με αυτό το περιστατικό, οι κακόβουλοι παράγοντες εκμεταλλεύτηκαν ορισμένα τρωτά σημεία που σχετίζονται με τον έλεγχο ταυτότητας και έναν περιορισμένο αριθμό API», λέει η αναφορά.
Τα άλλα δύο περιστατικά παραβίασης δεδομένων αφορούν ιστότοπους παραγγελιών Verizon TracFone, που αναφέρθηκαν στις 20 Δεκεμβρίου 2022 και στις 13 Ιανουαρίου 2023, αντίστοιχα.
Δείτε ακόμα: Κυβερνοεγκληματίες προσεγγίζουν υπαλλήλους των T-Mobile και Verizon για SIM-swapping επιθέσεις
Και στις δύο περιπτώσεις, μη επιβεβαιωμένοι κακόβουλοι παράγοντες εκμεταλλεύτηκαν μια ευπάθεια για να αποκτήσουν πρόσβαση σε πληροφορίες παραγγελίας, συμπεριλαμβανομένων ορισμένων δεδομένων CPNI και άλλων πελατών. Ο αριθμός των εκτεθειμένων ατόμων και τα περιστατικά SIM swapping έχουν λογοκριθεί στη δημόσια έκδοση του εγγράφου Consent Decree.
O διακανονισμός ορίζει ότι η TracFone της Verizon θα πρέπει πλέον να εφαρμόσει τα ακόλουθα μέτρα έως τις 28 Φεβρουαρίου 2025:
- Ανάπτυξη ενός υποχρεωτικού προγράμματος ασφάλειας πληροφοριών για τη μείωση των τρωτών σημείων του API, τηρώντας πρότυπα όπως το NIST και το OWASP, εφαρμόζοντας ασφαλείς ελέγχους API και δοκιμάζοντας και ενημερώνοντας τακτικά τα μέτρα ασφαλείας.
- Εφαρμογή ασφάλειας αλλαγής SIM και εξόδου που περιλαμβάνει έλεγχο ταυτότητας για αλλαγές SIM και αιτήματα εξόδου, ειδοποιώντας τους πελάτες για τέτοια αιτήματα και προσφέροντας PIN μεταφοράς αριθμού.
- Πραγματοποίηση ετήσιων αξιολογήσεων ασφάλειας πληροφοριών για να διασφαλιστεί η αποτελεσματικότητα του προγράμματος, με ανεξάρτητες αξιολογήσεις τρίτων κάθε δύο χρόνια για την αξιολόγηση της επάρκειας και της ωριμότητας.
- Διοργάνωση ετήσιας εκπαίδευσης εργαζομένων σχετικά με το απόρρητο και την ευαισθητοποίηση σχετικά με την ασφάλεια, για τη βελτίωση της ικανότητας προστασίας των δεδομένων των πελατών και να συμμόρφωσης με τα πρωτόκολλα ασφαλείας.
Δείτε επίσης: Verizon: Εσωτερική παραβίαση δεδομένων εξέθεσε στοιχεία υπαλλήλων
Μία παραβίαση δεδομένων, όπως αυτές στην TracFone της Verizon, αναφέρεται σε οποιαδήποτε μη εξουσιοδοτημένη πρόσβαση, διαρροή ή κλοπή ευαίσθητων πληροφοριών από ηλεκτρονικά συστήματα ή βάσεις δεδομένων. Οι παραβιάσεις αυτές μπορεί να περιλαμβάνουν προσωπικά δεδομένα, οικονομικές πληροφορίες ή άλλα ευαίσθητα στοιχεία, με αποτέλεσμα σοβαρές συνέπειες για τα θύματα, όπως η κλοπή ταυτότητας και η διακύβευση της οικονομικής τους ασφάλειας. Είναι ζωτικής σημασίας οι οργανισμοί να εφαρμόζουν ισχυρές στρατηγικές ασφάλειας για την προστασία των δεδομένων τους και την πρόληψη τέτοιων περιστατικών.
Πηγή: bleepingcomputer
