AT & T fait face à de multiples recours collectifs à la suite de l’admission par l’entreprise d’une violation massive de données qui a exposé les données sensibles de 73 millions de clients actuels et anciens.
Parmi les dix poursuites intentées depuis samedi, lorsque AT & T a confirmé nos précédents rapports sur la violation, l’une est gérée par Morgan & Morgan, représentant la plaignante Patricia Dean et des personnes se trouvant dans une situation similaire.
Ce cabinet d’avocats a récemment traité un procès incognito sur la confidentialité contre Google, poussant le géant de la technologie à un règlement après quatre ans de combats devant les tribunaux.
La poursuite allègue qu’AT&T n’a pas réussi à protéger adéquatement les données personnelles des clients, ce qui a entraîné une cyberattaque et une violation de données subséquente qui ont exposé des informations sensibles pour 73 millions de personnes.
Les données exposées incluent les noms, adresses, numéros de téléphone, dates de naissance, numéros de sécurité sociale et adresses e-mail des clients d’AT&T.
Le recours collectif concerne une violation de données publiée pour la première fois en 2021 par l’acteur de la menace Shiny Hunters, qui affirmait à l’époque avoir piraté AT&T et tenté de vendre les données. Cependant, AT & T a contesté ces allégations, affirmant que les échantillons de données divulgués ne leur appartenaient pas.
Le 17 mars 2024, un autre acteur de la menace nommé « MajorNelson » a divulgué gratuitement l’intégralité de la base de données sur un forum de piratage, précisant qu’il s’agissait de la même attaque de Shiny Hunters.
Encore une fois, AT & T a déclaré à Breachtrace que les données divulguées ne semblaient pas provenir d’eux et qu’il n’y avait aucun signe que ses systèmes avaient été violés.
À la suite d’une enquête interne, le géant des télécommunications a finalement admis le 30 mars 2024 que les données exposées appartenaient à 7,6 millions de titulaires de comptes AT&T actuels et à environ 65,4 millions d’anciens titulaires de comptes.
La société a également déclaré que les codes d’accès AT&T de 7,6 millions de clients avaient été exposés dans la fuite.
Lorsqu’ils sont configurés, ces codes d’accès sont requis pour recevoir l’assistance client ou effectuer des modifications sensibles du compte. Cependant, exposer ces données aux acteurs de la menace aurait pu permettre aux attaquants d’accéder plus facilement aux comptes.
AT & T a également déclaré qu’ils pensaient que les données divulguées dataient de 2019 et plus tôt, mais n’ont pas pu déterminer si elles provenaient de ses systèmes ou d’un partenaire.
Les démentis initiaux et ultérieurs de l’entreprise sur l’origine et l’authenticité des données divulguées et son incapacité à déterminer l’origine grâce à des enquêtes opportunes ont exposé les clients à un risque accru d’escroqueries et d’attaques de phishing pendant près de trois ans, sinon plus.
La plainte de Dean affirme que les mesures de sécurité inadéquates d’AT&T et son incapacité à fournir un avis opportun et adéquat sur la violation de données exposaient les clients à des risques substantiels, y compris le vol d’identité et diverses formes de fraude.
La poursuite accuse AT & T de négligence, de rupture de contrat implicite et d’enrichissement sans cause. Elle demande des dommages-intérêts compensatoires, une restitution, une injonction, des améliorations des protocoles de sécurité des données d’AT&T, de futurs audits, des services de surveillance du crédit financés par l’entreprise et un procès devant jury.
Un porte-parole de Morgan & Morgan a envoyé à Breachtrace le commentaire suivant concernant le litige:
En tant que plus grande entreprise de télécommunications du pays, AT&T a le devoir crucial de protéger les informations sensibles de ses clients actuels et anciens.
Nous alléguons qu’AT & T était au courant de la vulnérabilité qui aurait conduit à cette violation, mais a permis qu’elle se produise en n’agissant pas.
Nous alléguons également qu’AT & T a exacerbé le problème en ne reconnaissant pas que la violation s’était produite jusqu’au 30 mars de cette année, permettant aux données personnelles des clients de rester entre des mains criminelles à leur insu pendant plus de deux ans et demi.
Nous nous battrons pour tenir AT & T responsable de leurs actions et inactions présumées qui ont permis que cela se produise, et garantir la justice pour les 73 millions d’Américains touchés par cette attaque contre leur vie privée. – Porte-parole de Morgan et Morgan
Breachtrace a contacté AT & T pour une déclaration sur ce qui précède, mais nous attendons toujours une réponse.
Des recours collectifs similaires déposés contre AT & T au cours des derniers jours incluent ceux des plaignants Williamson, Escano, Collier et Cumo. Cependant, ceux-ci seront probablement consolidés à l’avenir.