L’État de Washington a poursuivi T-Mobile pour ne pas avoir sécurisé les informations personnelles sensibles de plus de 2 millions d’habitants de Washington lors d’une violation de données en 2021.
L’affaire remonte à août 2021, lorsque T-Mobile a admis que des attaquants avaient pénétré de force dans son réseau d’entreprise et avaient eu accès aux informations sensibles de 79 millions de personnes à l’échelle nationale.
La violation de données elle-même, cependant, a commencé en mars 2021, et l’activité malveillante est passée inaperçue pendant les six mois suivants.
T-Mobile n’a appris l’existence de la violation qu’après l’apparition des données des clients sur le Dark Web. Selon le procureur général de Washington, Bob Ferguson, le géant des télécommunications a choisi de minimiser la gravité de la violation et n’a pas informé les personnes touchées en temps opportun.
« Lorsqu’il a appris la violation de données, la notification de T-Mobile aux consommateurs concernés était inadéquate à bien des égards », lit-on dans l’annonce de l’AG.
« Les clients actuels ont reçu des SMS brefs, omettant des informations critiques et légalement requises, et dans certains cas, ont induit les clients en erreur quant à la gravité de la violation. »
« De plus, les clients actuels dont les numéros de sécurité sociale ont été exposés n’ont reçu aucune information concernant cette exposition. »
Ferguson allègue que cette violation est survenue après une série de cyberattaques précédentes qui ont montré que T-Mobile restait dans la ligne de mire des acteurs de la menace, mais l’entreprise n’aurait pas mis en œuvre les mesures de sécurité appropriées pour empêcher sa survenance.
Cela s’est poursuivi en 2024, lorsque T-Mobile a été compromis par le typhon de sel des acteurs soutenus par l’État chinois. »Cependant, l’entreprise de télécommunications affirme qu’aucune donnée client n’a été consultée dans le cadre de cette violation.
La poursuite, déposée devant la Cour supérieure de King Country, allègue également que T-Mobile a déformé ses capacités de cybersécurité, donnant aux clients un faux sentiment de sécurité et de sûreté concernant leurs données.
L’action en justice vise maintenant une ordonnance du tribunal obligeant T-Mobile à renforcer ses pratiques de cybersécurité pour répondre aux normes de l’industrie et améliorer la transparence et la communication avec les clients en cas de violation de données.
La poursuite vise également l’approbation de sanctions civiles pour les violations de la Loi sur la protection du consommateur et l’indemnisation des clients affectés qui ont subi des dommages résultant de la violation.
En outre, T-Mobile peut se voir ordonner de renoncer à tout gain financier obtenu grâce aux pratiques trompeuses présumées.
Breachtrace a contacté T-Mobile pour lui demander une déclaration sur le procès de Washington AG, et un porte-parole nous a envoyé le commentaire suivant:
« Nous avons eu plusieurs conversations à propos de cet incident de 2021 avec le bureau de Washington AG au cours des dernières années et nous avons même contacté fin novembre pour poursuivre les discussions, de sorte que la décision du bureau d’intenter une action en justice hier a été une surprise », a déclaré T-Mobile à Breachtrace .
« Bien que nous ne soyons pas d’accord avec leur approche et les revendications du dépôt, nous sommes ouverts à un dialogue plus approfondi et accueillons favorablement l’opportunité de résoudre ce problème, comme nous l’avons déjà fait avec la FCC. Nous sommes également impatients de partager comment T-Mobile a fondamentalement transformé notre approche de la cybersécurité au cours des quatre dernières années pour protéger davantage nos clients. »