Verizon Communications a accepté de payer un règlement de 16 000 000 $avec la Federal Communications Commission (FCC) aux États-Unis concernant trois incidents de violation de données chez sa filiale en propriété exclusive, TracFone Wireless, subis après son acquisition en 2021.

TracFone est un fournisseur de services de télécommunications offrant des services via Total by Verizon Wireless, Straight Talk et Walmart Family Mobile, entre autres.

Outre la lourde sanction civile, l’accord de règlement annoncé oblige l’entreprise de communication à mettre en œuvre des mesures spécifiques pour augmenter le niveau de sécurité des données pour ses clients à l’avenir.

Violations de données multiples
Des violations de données chez TracFone se sont produites entre 2021 et 2023, impliquant trois incidents distincts.

Le premier, appelé incident « Cross-Brand », a été autodéclaré par TracFone le 14 janvier 2022. L’entreprise l’a découvert en décembre 2021, mais l’enquête a montré que les auteurs de la menace avaient accès aux données des clients depuis janvier 2021.

Avec l’accès à des informations sensibles, y compris des informations personnelles identifiables (PII) et des informations réseau propriétaires du client (CPNI), les auteurs de la menace ont effectué un grand nombre d’approbations de demandes de portage de numéros non autorisées.

« Dans le cadre de cet incident, les acteurs de la menace ont exploité certaines vulnérabilités liées à l’authentification et à un nombre limité d’API », peut-on lire dans le décret.

« En exploitant ces vulnérabilités, les auteurs de menaces ont pu accéder sans autorisation à certaines informations client. »

Les deux autres incidents de violation de données concernent les sites Web de commande de TracFone, signalés respectivement le 20 décembre 2022 et le 13 janvier 2023.

Dans les deux cas, des acteurs de la menace non authentifiés ont exploité une vulnérabilité pour accéder aux informations de commande, y compris certaines données CPNI et d’autres données client.

« Le ou les auteurs de la menace ont utilisé deux méthodes différentes pour exploiter la vulnérabilité (passage à une deuxième méthode lorsque TracFone a réussi à bloquer la première) », explique le document de décret de la FCC.

« TracFone a finalement mis en œuvre un correctif à long terme pour la vulnérabilité sous-jacente d’ici février 2023. »

Le nombre d’individus exposés et d’incidents d’échange de cartes SIM a été censuré dans la version publique du document de décret de consentement.

L’accord de règlement stipule que TrackFone devra désormais mettre en œuvre les mesures suivantes d’ici le 28 février 2025:

  • Développer un programme obligatoire de sécurité de l’information pour réduire les vulnérabilités des API en adhérant aux normes telles que NIST et OWASP, en mettant en œuvre des contrôles API sécurisés et en testant et mettant à jour régulièrement les mesures de sécurité.
  • Implémentez CERTAINES protections de modification et de sortie impliquant une authentification sécurisée pour CERTAINES modifications et demandes de sortie, en informant les clients de ces demandes et en proposant des codes PIN de transfert de numéro.
  • Effectuer des évaluations annuelles de la sécurité de l’information pour assurer l’efficacité du programme, avec des évaluations indépendantes par des tiers tous les deux ans pour évaluer la suffisance et la maturité.
  • Organisez une formation annuelle de sensibilisation à la confidentialité et à la sécurité des employés pour améliorer leur capacité à protéger les données des clients et à se conformer aux protocoles de sécurité.

Breachtrace a contacté Verizon et TracFone pour demander combien de clients ont été impactés, mais nous n’avons pas reçu de réponse.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *