ترفع واشنطن دعوى قضائية ضد T-Mobile بسبب خرق البيانات في عام 2021 والذي أدى إلى تسرب 79 مليون سجل عميل

رفعت ولاية واشنطن الأمريكية دعوى قضائية ضد شركة T-Mobile بسبب مزاعم بأن عملاق الهاتف فشل في تأمين البيانات الشخصية لملايين سكان الولاية قبل خرق البيانات في أغسطس 2021، والذي أثر على أكثر من 79 مليون عميل في جميع أنحاء الولايات المتحدة.

وفي بيان أعلن فيه الدعوى القضائية، قال المدعي العام في واشنطن، بوب فيرجسون، إن شركة T-Mobile “كانت على علم لسنوات ببعض نقاط الضعف في الأمن السيبراني ولم تفعل ما يكفي لمعالجتها”. وقال فيرجسون إن الدعوى تسعى إلى الحصول على تعويضات مالية بموجب قوانين حماية المستهلك في الولاية وإلزام T-Mobile بتحسين سياسات الأمن السيبراني الخاصة بها.

كان الاختراق الذي تعرض له T-Mobile في أغسطس 2021 هو الأحدث في سلسلة من خروقات البيانات في الشركة خلال السنوات الأخيرة، مع ما لا يقل عن خمس حوادث أمنية يعود تاريخها إلى عام 2018 حسب إحصاء TechCrunch. سمح الاختراق للمتسلل بالوصول إلى أنظمة T-Mobile وأسماء العملاء المسربة وتواريخ الميلاد وأرقام الضمان الاجتماعي، بالإضافة إلى معلومات رخصة القيادة. تم نشر بعض بيانات عملاء T-Mobile المسروقة لاحقًا في منتدى معروف لمجرمي الإنترنت.

واتهم فيرجسون شركة T-Mobile بتقديم إشعار غير كافٍ للعملاء المتأثرين بعد الاختراق الذي “أغفل معلومات مهمة وقلل من خطورة الأمر”، والذي قال فيرجسون إنه يؤثر على قدرة المستهلكين على تقييم مخاطر سرقة الهوية أو الاحتيال.

ونقل عن فيرجسون قوله في البيان الصحفي: “كان من الممكن تجنب هذا الاختراق الكبير للبيانات”. “كان لدى T-Mobile سنوات لإصلاح نقاط الضعف الرئيسية في أنظمة الأمن السيبراني الخاصة بها – وقد فشلت.”

تحتوي الدعوى المرفوعة في محكمة فيدرالية في سياتل، على تنقيحات كبيرة تخفي تفاصيل فنية محددة عن اختراق أغسطس 2021، ولكن يبدو أن الشكوى تتضمن تفاصيل أوجه القصور الأمنية الفنية المزعومة وسياسات الشركة الداخلية التي ربما سهّلت على المتسلل الوصول والتنزيل. بيانات العملاء من خوادم T-Mobile.

تشير الأجزاء غير المنقحة إلى أن المتسلل الذي استهدف T-Mobile اكتشف “اسم مستخدم وكلمة مرور يمكن تخمينهما بسهولة”؛ وأن T-Mobile “استخدمت بيانات اعتماد ضعيفة” في الحسابات للوصول إلى أنظمتها الداخلية؛ وأن T-Mobile “سمحت بالاتصال من عنوان IP الخاص بممثل التهديد” من خارج شبكتها. تقول الشكوى أيضًا إن T-Mobile لم تطبق قيودًا على أي محاولات لتسجيل الدخول، مما يسمح للمتسلل باختبار أكبر عدد ممكن من بيانات الاعتماد بحرية دون قفل حسابات الموظفين المعنيين.

وتقول الدعوى أيضًا إن “تكوين المراقبة والتنبيه غير الكافي” للشركة جعل من السهل على المتسلل الوصول إلى شبكة T-Mobile دون أن يلاحظه أحد.

وتضيف شكوى فيرغسون أن التصريحات العامة لشركة T-Mobile تحريف مدى كفاية دفاعاتها للأمن السيبراني والتهديد الذي تتعرض له بيانات عملاء T-Mobile الموجودة على الويب المظلم، وقالت إن سلوك الشركة “لديه القدرة على خداع عدد كبير من المستهلكين في واشنطن”. “

ولم يعلق المتحدث باسم T-Mobile، عندما تم الاتصال به يوم الاثنين، على الفور على الدعوى القضائية.