Negara bagian Washington di AS telah menggugat T-Mobile atas tuduhan bahwa raksasa telepon itu gagal melindungi data pribadi jutaan penduduk negara bagian tersebut. sebelum pelanggaran data Agustus 2021yang mempengaruhi lebih dari 79 juta pelanggan di seluruh Amerika Serikat.
Di dalam sebuah pernyataan Saat mengumumkan gugatan tersebut, Jaksa Agung Washington Bob Ferguson mengatakan T-Mobile “telah mengetahui tentang kerentanan keamanan siber tertentu selama bertahun-tahun dan tidak berbuat cukup banyak untuk mengatasinya.” Ferguson mengatakan gugatan tersebut mencari kerugian finansial berdasarkan undang-undang perlindungan konsumen negara bagian dan memerintahkan T-Mobile untuk meningkatkan kebijakan keamanan sibernya.
Serangan terhadap T-Mobile pada Agustus 2021 adalah yang terbaru dari serangkaian pelanggaran data di perusahaan tersebut dalam beberapa tahun terakhir, dengan setidaknya lima insiden keamanan terjadi pada tahun 2018. menurut hitungan TechCrunch. Pelanggaran tersebut memungkinkan peretas mengakses sistem T-Mobile dan mengambil nama pelanggan, tanggal lahir dan nomor Jaminan Sosial, serta informasi SIM. Beberapa data pelanggan T-Mobile yang dicuri kemudian diposting di forum penjahat dunia maya terkenal.
Ferguson menuduh T-Mobile memberikan pemberitahuan yang tidak memadai kepada pelanggan yang terkena dampak setelah pelanggaran yang “menghilangkan informasi penting dan meminimalkan tingkat keparahan,” yang menurut Ferguson memengaruhi kemampuan konsumen untuk menilai risiko pencurian identitas atau penipuan.
“Pelanggaran data yang signifikan ini sepenuhnya dapat dihindari,” kata Ferguson dalam siaran persnya. “T-Mobile punya waktu bertahun-tahun untuk memperbaiki kerentanan utama dalam sistem keamanan sibernya, dan gagal.”
Dia gugatandiajukan ke pengadilan federal di Seattle, berisi redaksi penting menutupi rincian teknis spesifik dari peretasan Agustus 2021, tetapi keluhan tersebut tampaknya merinci dugaan kekurangan keamanan teknis dan kebijakan internal perusahaan yang mungkin memudahkan peretas untuk mengakses dan mengunduh data pelanggan dari server T-Mobile.
Bagian yang tidak disunting mencatat bahwa peretas yang menargetkan T-Mobile menemukan “nama pengguna dan kata sandi yang mudah ditebak”; bahwa T-Mobile “menggunakan kredensial yang lemah” pada akun untuk mengakses sistem internalnya; dan bahwa T-Mobile “mengizinkan koneksi dari alamat IP pelaku ancaman” dari luar jaringannya. Keluhan tersebut juga menyatakan bahwa T-Mobile tidak menerapkan pembatasan tarif pada upaya login apa pun, sehingga peretas dapat dengan bebas mencoba kredensial sebanyak mungkin tanpa mengunci akun karyawan yang bersangkutan.
Gugatan tersebut juga mengatakan “konfigurasi pemantauan dan peringatan yang tidak tepat” dari perusahaan memudahkan peretas mengakses jaringan T-Mobile tanpa diketahui.
Keluhan Ferguson menambahkan bahwa pernyataan publik T-Mobile salah menggambarkan kecukupan pertahanan keamanan sibernya dan ancaman terhadap data pelanggan T-Mobile yang ditemukan di web gelap, dan mengatakan bahwa tindakan perusahaan tersebut “memiliki kemampuan untuk menipu sejumlah besar konsumen Washington.” “
Saat dihubungi oleh TechCrunch sebelum dipublikasikan, T-Mobile tidak memberikan komentar hingga berita ini dimuat. Dalam pernyataan yang diberikan oleh juru bicara T-Mobile Michelle Jacob setelah cerita ini dipublikasikan, perusahaan mengatakan gugatan tersebut datang sebagai “kejutan”.
“Meskipun kami tidak setuju dengan pendekatan dan pernyataan mereka dalam pengajuan, kami terbuka untuk dialog lebih lanjut dan menyambut baik peluang untuk menyelesaikan masalah ini, seperti yang telah kami lakukan dengan FCC,” kata pernyataan itu.
Diperbarui dengan komentar dari T-Mobile.