T-Mobile faz acordo por falhas de segurança
1 de Outubro de 2024

A Comissão Federal de Comunicações (FCC) anunciou um acordo de $31,5 milhões com a T-Mobile após múltiplos vazamentos de dados que comprometeram as informações pessoais de milhões de consumidores dos EUA.

Este acordo resolve as investigações da Comissão de Fiscalização da FCC sobre vários incidentes de cibersegurança e vazamentos de dados resultantes que impactaram os clientes da T-Mobile em 2021, 2022 e 2023 (um incidente de API e um vazamento em aplicativo de vendas).

Como parte do acordo, a operadora de telecomunicações deve investir $15,75 milhões em melhorias de cibersegurança e pagar ao Tesouro dos EUA uma multa civil adicional de $15,75 milhões.

A empresa também se comprometeu a implementar medidas de segurança mais robustas, incluindo a adoção de frameworks modernos de cibersegurança como arquitetura zero-trust e autenticação multifatorial que resiste a ataques de phishing.

"As redes móveis de hoje são alvos principais para criminosos cibernéticos. Os dados dos consumidores são importantes e sensíveis demais para receber menos do que as melhores proteções de cibersegurança," disse a presidente da FCC, Jessica Rosenworcel.

Continuaremos a enviar uma mensagem forte para os provedores confiados com essas informações delicadas de que eles precisam fortalecer seus sistemas ou haverá consequências.

Como parte do acordo, a T-Mobile se comprometeu a aprimorar práticas de privacidade, segurança de dados e cibersegurança ao addressar falhas de segurança fundamentais, melhorar a higiene cibernética e adotar arquiteturas modernas robustas ao:

- Fornecer atualizações regulares de cibersegurança por meio do Chief Information Security Officer da empresa ao conselho de diretores para assegurar maior supervisão e governança,
- Adotar processos de minimização de dados, inventário de dados e eliminação de dados para limitar a coleta e retenção de informações do cliente,
- Detectar e rastrear ativos críticos de rede para prevenir mau uso ou comprometimento,
- Trabalhar em direção à implementação de uma arquitetura zero-trust moderna, segmentando suas redes para melhorar a segurança,
- Avaliar práticas de segurança da informação através de auditorias independentes de terceiros,
- Adotar autenticação multifatorial em sistemas da empresa para bloquear riscos de vazamento vinculados ao vazamento, roubo e venda de credenciais roubadas.

"Com empresas como a T-Mobile e outros provedores de serviços de telecomunicações operando em um espaço onde os interesses de segurança nacional e proteção do consumidor se sobrepõem, estamos focados em garantir que mudanças técnicas críticas sejam feitas nas redes de telecomunicações para melhorar nossa postura nacional de cibersegurança e ajudar a prevenir futuros comprometimentos dos dados sensíveis dos americanos," adicionou Loyaan A. Egal, Chefe da Comissão de Fiscalização da FCC.

A Força-Tarefa de Privacidade e Proteção de Dados da FCC, estabelecida em 2023 pela presidente Rosenworcel, desempenhou um papel central na investigação e no acordo, assim como fez quando a FCC alcançou acordos semelhantes com a AT&T em setembro de 2024 ($13 milhões) e com a Verizon em nome de sua subsidiária TracFone Wireless em julho de 2024 ($16 milhões).

A FCC também multou os maiores operadores de telefonia móvel dos EUA em quase $200 milhões em abril de 2024 por compartilharem os dados de localização em tempo real de seus clientes sem o consentimento destes.

As ordens de confisco de abril finalizaram Notificações de Responsabilidade Aparente (NAL) emitidas contra AT&T, Sprint, T-Mobile e Verizon em fevereiro de 2020 e impuseram a cada uma das quatro operadoras multas de milhões: $12 milhões para a Sprint e $80 milhões para a T-Mobile (as duas operadoras se fundiram desde o início da investigação), mais de $57 milhões para a AT&T e quase $47 milhões de multa para a Verizon.

Em fevereiro, a FCC também atualizou suas regras de notificação de vazamento de dados para exigir que as empresas de telecomunicações relatem vazamentos de dados que impactem as informações pessoais identificáveis de seus clientes dentro de 30 dias.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...