T-Mobile, a marca de comunicações móveis da Deutsche Telekom, sofreu uma quebra de dados que expôs os registos de 37 milhões de clientes.
A violação foi descoberta pela primeira vez pela T-Mobile a 5 de Janeiro depois de a empresa ter notado “actividade invulgar” nas suas redes americanas e foi depois reportada ao público em geral a 19 de Janeiro. A empresa disse que acreditava que o hacker tinha obtido acesso à informação do cliente “utilizando uma única Interface de Programação de Aplicação (ou API)”.
A T-Mobile disse que a violação foi encerrada no prazo de 24 horas após a detecção. Acredita que o hacker tem vindo a utilizar o API para aceder aos dados dos clientes desde Novembro de 2022, no entanto, o que significa que um actor malicioso conseguiu aceder aos dados de 37 milhões de clientes.
De acordo com a T-Mobile, os dados acedidos incluem “nome, endereço de facturação, e-mail, número de telefone, data de nascimento, número de conta e informações tais como o número de linhas na conta e características do plano de serviço”. Nenhuma informação sensível, tal como número de segurança social, detalhes de pagamento ou palavras-passe, foi acedida na violação. A T-Mobile disse que a razão para isto era os sistemas e políticas de segurança cibernética que tem em vigor “impedir[s] os tipos mais sensíveis de informação de clientes a que se acede”.
Dois processos de acção colectiva relacionados com a violação foram apresentados ao Tribunal Distrital dos EUA para o Distrito Norte da Florida e ao Tribunal Distrital dos EUA para o Distrito Central da Califórnia. Ambos os processos alegam que a T-Mobile não teve o cuidado razoável de proteger a informação privada dos clientes.
Esta é a segunda violação de dados em grande escala que a empresa sofreu no espaço de dois anos, apesar de ter concordado em investir 150 milhões de dólares nos seus sistemas de cibersegurança, na sequência da anterior violação de dados em 2021.
Agosto de 2021: Violação de dados T-Mobile
Em Agosto de 2021, a T-Mobile alertou os seus clientes de que tinha sido vítima de um ataque cibernético que tinha levado a uma violação de dados. Após uma investigação sobre o ataque, foi revelado que mais de 76,6 milhões de informações de clientes actuais e antigos tinham sido acedidas durante a violação.
A informação acedida incluía nomes de clientes, moradas, datas de nascimento, números de telefone, números de Identidade de Equipamento Móvel Internacional e números de Identidade de Assinante Móvel Internacional. Alguns clientes também tinham informação sensível, incluindo os seus números de segurança social e informação sobre carta de condução/ID e PIN da conta T-Mobile comprometidos. A T-Mobile alertou todos os afectados e redefiniu a informação do PIN das contas que tinham comprometido no ataque.
Para ajudar a combater as ramificações do ataque, a T-Mobile criou uma página web dedicada a informações sobre a violação, bem como ofereceu dois anos de serviços gratuitos de protecção da identidade, protecção gratuita contra burlas e forneceu guias adicionais de boas práticas sobre o que fazer na sequência da violação, incluindo ajuda na redefinição de palavras-passe e PINs.
A empresa de telecomunicações enfrentou um processo de acção colectiva na sequência da infracção por alegadamente não ter cumprido as obrigações estabelecidas na sua política de privacidade e de protecção dos dados dos seus clientes. A empresa concordou em chegar a acordo, pagando 350 milhões de dólares para financiar as reclamações apresentadas pelos membros da acção colectiva e concordando em investir 150 milhões de dólares nos seus sistemas de segurança cibernética.