Verizon выплатит $16 млн штрафа за нарушения безопасности TracFone
Серия киберинцидентов привела к масштабной утечке данных клиентов компании.
Компания Verizon согласилась выплатить штраф в размере 16 миллионов долларов Федеральной комиссии по связи США (FCC) в связи с тремя случаями утечек данных в своей дочерней компании TracFone Wireless после её приобретения в 2021 году. TracFone предоставляет телекоммуникационные услуги через Total by Verizon Wireless, Straight Talk и Walmart Family Mobile.
Утечки данных в TracFone произошли в период с 2021 по 2023 годы и включали три отдельных инцидента. Первый инцидент, названный «Cross-Brand», был публично раскрыт самой компанией TracFone 14 января 2022 года. Компания обнаружила утечку в декабре 2021 года, но расследование показало, что злоумышленники имели доступ к данным клиентов почти целый год — с января 2021 года.
Тогда злоумышленники получили доступ к конфиденциальной информации, включая персональные данные (PII) и конфиденциальную информацию сети (CPNI), что позволило им одобрять несанкционированные запросы на перенос номеров.
Два других инцидента, касающиеся сайтов заказов TracFone, были раскрыты 20 декабря 2022 года и 13 января 2023 года. В обоих случаях неаутентифицированные злоумышленники использовали уязвимость для доступа к информации о заказах, включая CPNI и другие данные клиентов.
Помимо значительного денежного штрафа, компания обязана внедрить меры для повышения уровня безопасности данных своих клиентов. Согласно подписанному соглашению, до 28 февраля 2025 года TracFone должна внедрить следующие защитные меры:
- Разработать программу информационной безопасности, чтобы снизить уязвимости API, соблюдая стандарты NIST и OWASP, внедрить безопасные API-контроли, а также регулярно тестировать и обновлять меры безопасности.
- Внедрить защиту при изменении SIM-карт и запросах на перенос номеров, включая безопасную аутентификацию, уведомление клиентов о таких запросах и предоставление PIN-кодов для переноса номеров.
- Проводить ежегодные оценки информационной безопасности для проверки эффективности программы, а также независимые внешние оценки каждые два года.
- Организовать ежегодное обучение сотрудников вопросам конфиденциальности и безопасности для повышения их способности защищать данные клиентов и соблюдать протоколы безопасности.
Этот инцидент с утечками данных подчёркивает важность постоянного внимания к информационной безопасности и своевременного реагирования на выявленные киберугрозы. Несмотря на серьёзные последствия для компании и её клиентов, предпринятые меры и внедрение новых стандартов безопасности демонстрируют готовность Verizon и TracFone к улучшению защиты данных и предотвращению подобных инцидентов в будущем.