Principais conclusões
- A AT&T falhou em proteger os dados dos clientes, o que levou a uma grande violação em 2024, expondo milhões de registros de chamadas e mensagens de texto.
- A falha em garantir a conformidade do fornecedor levou à violação de dados e expôs detalhes de quase 9 milhões de clientes da AT&T Mobility de 2015 a 2017.
- A AT&T fez um acordo de US$ 13 milhões com a FCC, concordando em implementar melhores práticas de tratamento de dados para evitar futuras violações.
A AT&T não está tendo o melhor ano. Um registro da SEC revelou em julho de 2024 que a operadora sofreu uma grande violação de dados, expondo milhões de registros de chamadas e mensagens de texto de seus clientes a hackers. Em abril, a AT&T também admitiu que os dados de seus clientes — especificamente de 2019 ou anteriores — podem ter sido comprometidos em uma violação de dados. Embora as violações de dados sejam comuns e às vezes inevitáveis, novas informações revelam que a AT&T poderia ter evitado que seus dados fossem hackeados, mas não o fez.
A AT&T supostamente falhou em proteger os dados dos clientes quando seu fornecedor de nuvem foi hackeado em janeiro de 2023, de acordo com uma declaração da FCC (via Ars Technica). A AT&T contratou o fornecedor para criar e hospedar conteúdo de vídeo personalizado, como vídeos de cobrança e marketing, para seus clientes. De acordo com os contratos da AT&T, o fornecedor deveria devolver ou destruir as informações do cliente quando não fossem mais necessárias, o que deveria ter acontecido anos antes da violação. A FCC disse que a AT&T não apenas falhou em garantir que o fornecedor protegesse os dados do cliente, mas também não garantiu que eles fossem devolvidos ou destruídos conforme exigido pelo contrato.
A violação de dados expôs informações sobre quase 9 milhões de clientes da AT&T Mobility. Os dados vazados incluíam detalhes do assinante de 2015 a 2017, como o número de linhas telefônicas em uma conta, mas não incluíam detalhes confidenciais como números de Previdência Social ou de cartão de crédito.
A AT&T deveria ter apagado dados em 2018
A FCC disse que a AT&T deu ao fornecedor seus dados de clientes entre 2015 e 2017, e o contrato exigia que a operadora tivesse esses dados “destruídos ou excluídos com segurança” até 2018. Os dados permaneceram no ambiente de nuvem do fornecedor por cerca de cinco anos e foram finalmente expostos. Embora a AT&T não tenha admitido nenhuma irregularidade, ela concordou em pagar US$ 13 milhões para resolver as reivindicações da FCC (PDF).
Como parte do acordo, a AT&T também concordou em melhorar suas práticas de tratamento de dados e implementar procedimentos específicos para gerenciar informações de clientes no futuro, o que provavelmente custará muito mais do que a multa de US$ 13 milhões.