T-Mobile paie 500 millions de dollars pour l’une des plus importantes violations de données de l’histoire des États-Unis

Lorsque T-Mobile a compromis les informations personnelles sensibles de plus de 76 millions de clients actuels, anciens et potentiels en 2021, les plaignants impliqués dans un recours collectif se sont plaints que l’entreprise continuait de tirer profit de leurs données tout en essayant “d’utiliser l’un des plus grands et les violations de données les plus importantes de l’histoire des États-Unis.

Maintenant, T-Mobile n’a admis aucune culpabilité, mais a accepté de payer un règlement de 500 millions de dollars (en attente de l’approbation du juge), dont 350 millions de dollars iront au fonds de règlement et “au moins 150 millions de dollars” seront dépensés pour améliorer les mesures de sécurité des données. jusqu’en 2023 inclus.

T-Mobile a refusé d’informer Ars des plans spécifiques à venir pour améliorer la sécurité des données, se référant plutôt à une déclaration détaillant les mesures qu’il a prises au cours de l’année écoulée pour “doubler” la sécurité. Cela comprend la mise en place d’un bureau de transformation de la cybersécurité relevant directement de Mike Sievert, PDG de T-Mobile ; s’associer à des entreprises de cybersécurité pour « transformer davantage notre programme de cybersécurité » ; accroître la formation des employés à la cybersécurité ; et investir “des centaines de millions de dollars pour améliorer nos outils et capacités de cybersécurité actuels”.

Tous les paiements des clients de T-Mobile issus du règlement proposé seront effectués par l’intermédiaire d’un administrateur de règlement tiers indépendant. L’accord stipule que T-Mobile dispose de 10 jours pour envoyer de l’argent à l’administrateur du règlement afin de commencer le processus de notification à toute personne éligible pour déposer des réclamations.

À ce stade, personne ne sait exactement quelle sera l’importance des paiements individuels, car ce chiffre dépendra du nombre total de plaintes déposées si le règlement est conclu. T-Mobile affirme que toutes les personnes dont les données ont été compromises ont déjà été informées, tandis que les avocats représentant les personnes poursuivant T-Mobile ont déclaré qu’il était encore possible que d’autres victimes soient identifiées. Au moins un cabinet d’avocats a mis en place une adresse e-mail pour répondre aux questions de toute personne craignant de manquer le règlement proposé. Dans l’accord de règlement proposé, T-Mobile a également déclaré qu’un numéro sans frais et un site Web seraient mis en place pour répondre à toutes les questions restantes.

Dans sa déclaration, T-Mobile se dit “heureux d’avoir résolu cette plainte concernant la notation des consommateurs”.

Cependant, pour les clients de T-Mobile blessés par la violation de données, la douleur ne devrait jamais vraiment s’arrêter. Dans leur plainte, les clients disent qu’ils continueront à payer pour les faibles choix de sécurité de T-Mobile. Ils considèrent que leurs données sont à jamais compromises et ils affirment qu’ils devront payer pour une protection continue contre le vol d’identité, alors que la “menace certaine, immédiate et continue de fraude et de vol d’identité” se profile toujours.

Erreurs de sécurité des données T-Mobile

Beaucoup de choses ont mal tourné pour la violation de données de T-Mobile, mais les plaignants affirment que la société a violé les termes de sa propre politique de confidentialité en omettant de divulguer correctement les informations sur la violation en premier lieu ou de prendre les mesures de sécurité appropriées pour protéger raisonnablement les données. .

L’exemple le plus évident de l’incapacité de T-Mobile à divulguer correctement les informations sur la violation était peut-être la dissimulation apparente de comptes piratés où des numéros de sécurité sociale avaient été divulgués. Dans la plainte, les clients ont partagé des notifications par SMS et par e-mail envoyées par T-Mobile qui ont généralisé la violation de données et n’ont pas averti que le numéro de sécurité sociale d’un client avait été divulgué alors qu’il l’avait été ; mais quand ce n’est pas le cas, T-Mobile a envoyé plusieurs notifications rassurant spécifiquement les clients que les numéros de sécurité sociale n’avaient pas été divulgués. La contradiction suggère que T-Mobile a délibérément caché les détails de la violation de données aux personnes les plus vulnérables au vol d’identité.

La plus flagrante des allégations selon lesquelles T-Mobile n’a pas pris les mesures de base pour sécuriser correctement les données était peut-être une plainte selon laquelle l’entreprise ne s’appuyait pas sur une pratique de protection des données standard appelée “limitation de la vitesse”.

La limitation de la vitesse est un moyen d’empêcher les serveurs d’être touchés par trop de requêtes à la fois. En limitant le nombre de requêtes qu’un serveur peut recevoir pendant une période donnée, cela permet d’empêcher les utilisateurs normaux de mourir de faim et les pirates d’inonder les serveurs de requêtes. Quiconque a déjà été bloqué en essayant trop d’échecs de connexion d’affilée a constaté l’efficacité de cette défense.

Leave a Reply

Your email address will not be published.