Principais conclusões
- A T-Mobile está investindo US$ 15,75 milhões em atualizações de segurança cibernética como parte de um acordo com a FCC, pagando também o mesmo valor em penalidades civis.
- O acordo segue-se a várias violações de dados de 2021 a 2023, expondo informações confidenciais de clientes, como números de segurança social e carteiras de motorista.
- A T-Mobile também concordou em adotar uma arquitetura de confiança zero e autenticação multifatorial, com seu CISO reportando riscos de segurança cibernética ao conselho para evitar futuras violações.
A maioria das operadoras não é muito boa em proteger os dados de seus usuários. Em 2023, a AT&T comprometeu os dados de milhões de americanos, e a FCC até multou a operadora no início deste mês por não tratar os dados de forma responsável. A T-Mobile também não é uma exceção. As violações de dados na empresa nos últimos anos vazaram números de segurança social, endereços e números de carteira de motorista de milhões de seus usuários. No entanto, a FCC agora quer que a T-Mobile comece a investir mais em infraestrutura de segurança cibernética e tente não ser hackeada com tanta frequência.
A FCC anunciou um acordo de “proteção de dados e segurança cibernética inovador” com a T-Mobile, que esclarece várias investigações envolvendo incidentes de segurança cibernética na empresa em 2021, 2022 e 2023 (via The Verge). Como parte do acordo, a T-Mobile prometeu resolver falhas fundamentais de segurança, trabalhar para melhorar a higiene cibernética e adotar arquiteturas modernas e robustas, como confiança zero e autenticação multifatorial resistente a phishing.
A empresa também terá que pagar ao Tesouro dos EUA US$ 15,75 milhões em penalidades civis, que é o mesmo valor que está investindo em sua segurança cibernética interna. Além disso, o Diretor de Segurança da Informação da T-Mobile atualizará regularmente o conselho sobre o status de segurança cibernética da T-Mobile e quaisquer riscos comerciais vinculados a ela.
A comissão afirma que este acordo servirá de modelo para a indústria, acrescentando: “Com empresas como a T-Mobile e outros prestadores de serviços de telecomunicações a operar num espaço onde a segurança nacional e os interesses de protecção do consumidor se sobrepõem, estamos concentrados em garantir que mudanças técnicas críticas sejam feitas às redes de telecomunicações para melhorar a nossa postura nacional de segurança cibernética e ajudar a prevenir futuros comprometimentos de dados confidenciais dos americanos. Continuaremos a responsabilizar a T-Mobile pela implementação desses compromissos.”
As operadoras estão no radar dos hackers atualmente
Nos últimos dois anos, houve uma série de violações de dados que atingiram as principais operadoras. A T-Mobile deu o pontapé inicial com uma violação massiva no início de 2023, onde hackers roubaram dados de cerca de 37 milhões de clientes. Em setembro, surgiram rumores de outra violação, mas a T-Mobile os encerrou. Então, em junho, foi atingida por outro incidente de segurança de escala semelhante, embora a empresa culpasse terceiros por isso.
A AT&T também tem sido um alvo regular e aparentemente pagou mais de US$ 300 mil a um hacker para ter acesso aos registros de chamadas de todos. Operadoras como Mint Mobile e Verizon também tiveram seu quinhão de violações recentemente.