Negara bagian AS Washington telah menggugat T-Mobile atas tuduhan raksasa telepon itu gagal mengamankan data pribadi jutaan penduduk negara bagian sebelum pelanggaran data Agustus 2021, yang kemudian mempengaruhi lebih dari 79 juta pelanggan di seluruh Amerika Serikat.
Dalam pernyataan yang mengumumkan gugatan, jaksa agung Washington Bob Ferguson mengatakan T-Mobile 'tahu selama bertahun-tahun tentang kerentanan keamanan tertentu dan tidak melakukan cukup untuk mengatasinya.' Ferguson mengatakan gugatan tersebut mencari kerugian finansial berdasarkan hukum perlindungan konsumen negara dan untuk memerintahkan T-Mobile untuk memperbaiki kebijakan keamanan cybernya.
Pembobolan terhadap T-Mobile pada Agustus 2021 adalah yang terbaru dalam serangkaian pelanggaran data di perusahaan tersebut selama beberapa tahun terakhir, dengan setidaknya lima insiden keamanan kembali ke 2018 menurut perhitungan TechCrunch. Pelanggaran tersebut memungkinkan seorang peretas mengakses sistem T-Mobile dan mendapatkan nama pelanggan, tanggal lahir, dan nomor Social Security, serta informasi SIM. Lisensi pengemudi. Sebagian data pelanggan T-Mobile yang dicuri kemudian dipublikasikan di forum kriminal cyber yang diketahui.
Ferguson menuduh T-Mobile memberikan pemberitahuan yang tidak mencukupi kepada pelanggan yang terkena dampak setelah pelanggaran itu 'menyelipkan informasi krusial dan mengurangi keparahan,' yang menurut Ferguson mempengaruhi kemampuan konsumen untuk menilai risiko pencurian identitas atau penipuan.
'Pelanggaran data signifikan ini sepenuhnya dapat dihindari,' kata Ferguson seperti yang dikutip dalam siaran pers. “T-Mobile memiliki bertahun-tahun untuk memperbaiki kerentanannya dalam sistem keamanan cyber - dan gagal.”
Gugatan tersebut, yang diajukan di pengadilan federal Seattle, berisi redaksi penting yang menyamarkan rincian teknis khusus tentang peretasan Agustus 2021, tetapi keluhan itu tampaknya mendetailkan kekurangan keamanan teknis yang diduga dan kebijakan internal perusahaan yang mungkin telah memudahkan peretas untuk mengakses dan mengunduh data pelanggan dari server T-Mobile.
Bagian-bagian yang tak disensor mencatat bahwa peretas yang menargetkan T-Mobile menemukan 'nama pengguna dan kata sandi yang mudah ditebak'; bahwa T-Mobile 'menggunakan kredensial lemah' pada akun untuk mengakses sistem internalnya; dan bahwa T-Mobile 'memungkinkan koneksi dari alamat IP aktor ancaman' dari luar jaringannya. Keluhan juga mengatakan bahwa T-Mobile tidak menerapkan pembatasan tingkat pada percobaan login apa pun, memungkinkan peretas untuk dengan bebas menguji sebanyak mungkin kredensial tanpa mengunci akun karyawan yang bersangkutan.
Gugatan juga mengatakan 'konfigurasi pemantauan dan pemberitahuan yang tidak mencukupi' perusahaan memudahkan peretas untuk mengakses jaringan T-Mobile tanpa disadari.
Keluhan Ferguson menambahkan bahwa pernyataan publik T-Mobile menyesatkan kesanggupan pertahanan keamanan cyber mereka dan ancaman kepada data pelanggan T-Mobile yang ditemukan di web gelap, dan mengatakan perilaku perusahaan 'mampu menipu sejumlah konsumen Washington yang signifikan.'
Ketika dihubungi oleh TechCrunch sebelum publikasi, T-Mobile tidak memberikan komentar pada waktu pers. Dalam pernyataan yang diberikan oleh juru bicara T-Mobile Michelle Jacob setelah cerita ini diposting, perusahaan mengatakan gugatan itu muncul sebagai 'kejutan.'
'Meskipun kita tidak setuju dengan pendekatan mereka dan klaim yang diajukan, kita terbuka untuk dialog lebih lanjut dan menyambut kesempatan untuk menyelesaikan masalah ini, seperti yang telah kita lakukan dengan FCC,' kata pernyataan itu.
Diperbarui dengan komentar dari T-Mobile.
