O estado norte-americano de Washington processou a T-Mobile alegando que a gigante das telecomunicações falhou em proteger os dados pessoais de milhões de residentes do estado antes de uma violação de dados em agosto de 2021, que acabou afetando mais de 79 milhões de clientes em todo os Estados Unidos.
Em um comunicado anunciando o processo, o procurador-geral de Washington, Bob Ferguson, disse que a T-Mobile 'sabia há anos sobre certas vulnerabilidades de cibersegurança e não fez o suficiente para resolvê-las.' Ferguson afirmou que o processo busca danos financeiros sob as leis de proteção ao consumidor do estado e para ordenar que a T-Mobile melhore suas políticas de cibersegurança.
O ataque contra a T-Mobile em agosto de 2021 foi o mais recente de uma série de violações de dados na empresa nos últimos anos, com pelo menos cinco incidentes de segurança desde 2018, de acordo com a contagem da TechCrunch. A violação permitiu que um hacker tivesse acesso aos sistemas da T-Mobile e extraiu nomes de clientes, datas de nascimento, números de Seguro Social e informações de carteira de motorista. Alguns dos dados de clientes da T-Mobile roubados foram posteriormente publicados em um fórum conhecido de cibercriminosos.
Ferguson acusou a T-Mobile de fornecer um aviso inadequado aos clientes afetados após a violação que 'omitia informações críticas e minimizava a gravidade', o que, segundo Ferguson, afetou a capacidade dos consumidores de avaliar seu risco de roubo de identidade ou fraude.
O processo, movido em um tribunal federal de Seattle, continha redações significativas mascarando detalhes técnicos específicos do hack de agosto de 2021, mas a reclamação parece detalhar supostas deficiências técnicas de segurança e políticas internas da empresa que podem ter facilitado para o hacker acessar e baixar dados de clientes dos servidores da T-Mobile.
As partes não redigidas observam que o hacker que visava a T-Mobile descobriu um 'nome de usuário e senha facilmente adivinháveis'; que a T-Mobile 'usava credenciais fracas' em contas para acessar seus sistemas internos; e que a T-Mobilé 'permitia a conexão a partir do endereço IP do agente de ameaças' de fora de sua rede. A reclamação também diz que a T-Mobile não implementou limitação de taxa em tentativas de login, permitindo ao hacker testar livremente quantas credenciais sem travar as contas dos funcionários em questão.
O processo também diz que a 'configuração inadequada de monitoramento e alerta' da empresa facilitou para o hacker acessar a rede da T-Mobile sem ser notado.
A reclamação de Ferguson adiciona que as declarações públicas da T-Mobile distorceram a adequação de suas defesas cibernéticas e a ameaça aos dados dos clientes da T-Mobile encontrados na dark web, e disse que a conduta da empresa 'tinha a capacidade de enganar um número substancial de consumidores de Washington.'
Quando contatada pela TechCrunch antes da publicação, a T-Mobile não forneceu comentários no momento da publicação. Em um comunicado fornecido pela porta-voz da T-Mobile, Michelle Jacob, após a publicação desta notícia, a empresa disse que o processo foi uma 'surpresa'.
'Embora discordemos da abordagem deles e das alegações do processo, estamos abertos a um diálogo adicional e recebemos a oportunidade de resolver esse problema, como já fizemos com a FCC', afirmou o comunicado.
Atualizado com comentário da T-Mobile.
