La Federal Communications Commission (FCC) a conclu un accord de 13 millions de dollars avec AT&T pour résoudre une enquête visant à déterminer si le géant des télécommunications n’a pas réussi à protéger les données des clients après la violation de l’environnement cloud d’un fournisseur il y a trois ans.
L’enquête de la FCC a également examiné l’intégrité de la chaîne d’approvisionnement d’AT&T et si le géant des télécommunications s’était engagé dans de mauvaises pratiques de confidentialité et de cybersécurité.
La violation massive de données sur laquelle la FCC a enquêté s’est produite en janvier 2023, lorsque des acteurs de la menace ont accédé aux données client d’environ 9 millions de comptes AT&T wireless stockés par un fournisseur engagé pour générer du contenu vidéo personnalisé, y compris des vidéos de facturation et de marketing.
« Les informations réseau propriétaires des clients de certains comptes sans fil ont été exposées, telles que le nombre de lignes sur un compte ou un plan tarifaire sans fil », a déclaré AT&T à Breachtrace à l’époque.
« Les informations ne contenaient pas d’informations de carte de crédit, de numéro de sécurité sociale, de mots de passe de compte ou d’autres informations personnelles sensibles. Nous informons les clients concernés. »
Les données du CPNI exposées lors de la violation de janvier 2023 comprenaient les prénoms des clients, les numéros de compte sans fil, les numéros de téléphone et les adresses e-mail.
Même si le fournisseur était tenu de détruire ou de restituer les données après la fin du contrat—des années avant la rupture—il ne l’a pas fait. Il a été constaté qu’AT&T n’avait pas suffisamment surveillé la conformité du fournisseur à ses obligations contractuelles.
« Les transporteurs doivent prendre des précautions supplémentaires étant donné leur accès à des informations sensibles, et nous resterons vigilants pour nous assurer que c’est le cas, quel que soit le fournisseur choisi par un client. »
AT & T s’engage à renforcer la protection des données des clients
Pour clore l’enquête, AT&T a également accepté de renforcer ses pratiques de gouvernance des données afin de protéger les données sensibles de ses consommateurs contre des violations de données similaires de fournisseurs à l’avenir.
Le décret de consentement oblige AT & T à mettre en œuvre un programme complet de sécurité de l’information qui inclut une large protection des données des clients, à améliorer ses processus d’inventaire des données pour suivre les données partagées avec les fournisseurs, à s’assurer que les fournisseurs respectent les règles de conservation et de destruction des informations des clients (pour limiter la quantité de données des clients vulnérables aux violations de date), et mener des audits de conformité annuels pour évaluer la conformité d’AT&T à ces exigences.
« La Loi sur les communications indique clairement que les opérateurs ont le devoir de protéger la confidentialité et la sécurité des données des consommateurs, et que la responsabilité prend un nouveau sens pour les violations de données à l’ère numérique », a déclaré la présidente de la FCC, Jessica Rosenworcel.
« Les transporteurs doivent prendre des précautions supplémentaires étant donné leur accès à des informations sensibles, et nous resterons vigilants pour nous assurer que c’est le cas, quel que soit le fournisseur choisi par un client. »
Loyaan A. Egal, chef du Bureau de l’application de la loi, a également souligné l’importance de l’affaire, notant que « Les fournisseurs de services de communication ont l’obligation de réduire la surface d’attaque et les points d’entrée que les acteurs de la menace cherchent à exploiter pour accéder aux données sensibles des clients. »
En juillet 2024, AT & T a mis en garde contre une autre violation massive des données après que des acteurs de la menace ont volé les journaux d’appels d’environ 109 millions de clients (presque tous ses clients mobiles) à partir d’une base de données en ligne sur le compte Snowflake de l’entreprise entre le 14 et le 25 avril 2024.
Les données exposées contenaient des numéros de téléphone, des durées d’appel, des métadonnées de communication et le nombre d’appels ou de SMS. Cependant, AT & T a déclaré que les attaquants ne pouvaient pas accéder au contenu des appels ou des SMS, aux noms des clients ou à toute autre information personnelle comme les numéros de sécurité sociale ou les dates de naissance.
En avril, la société a également informé 51 millions d’anciens et actuels clients d’une violation de données liée à une énorme quantité de données client d’AT&T divulguées en mars sur le forum de piratage violé et précédemment proposées à la vente pour 1 million de dollars en 2021.