Toen T-Mobile in 2021 de gevoelige persoonlijke informatie van meer dan 76 miljoen huidige, voormalige en potentiële klanten in gevaar bracht, klaagden eisers die betrokken waren bij een class action-rechtszaak dat het bedrijf bleef profiteren van hun gegevens terwijl het probeerde “een van de grootste en de meest consequente datalekken in de geschiedenis van de VS.”
Nu heeft T-Mobile geen schuld toegegeven, maar heeft ingestemd met het betalen van een schikking van $ 500 miljoen (in afwachting van de goedkeuring van een rechter), waarvan $ 350 miljoen naar het schikkingsfonds gaat en “ten minste $ 150 miljoen” zal worden besteed aan het verbeteren van de gegevensbeveiliging maatregelen tot en met 2023.
T-Mobile weigerde Ars te vertellen over specifieke aanstaande plannen om de gegevensbeveiliging te verbeteren, in plaats daarvan te linken naar een verklaring waarin de maatregelen worden uiteengezet die het het afgelopen jaar heeft genomen om de beveiliging te “verdubbelen”. Dat omvat het opzetten van een Cybersecurity Transformation Office dat rechtstreeks rapporteert aan Mike Sievert, CEO van T-Mobile; samenwerken met cyberbeveiligingsbedrijven om “ons cyberbeveiligingsprogramma verder te transformeren;” het opvoeren van de cyberbeveiligingstraining van medewerkers; en het investeren van “honderden miljoenen dollars om onze huidige tools en mogelijkheden voor cyberbeveiliging te verbeteren.”
Alle uitbetalingen van T-Mobile-klanten uit de voorgestelde schikking zullen worden uitbetaald via een onafhankelijke externe schikkingsbeheerder. In de overeenkomst staat dat T-Mobile 10 dagen de tijd heeft om geld naar de beheerder van de schikking te sturen om het proces te starten om iedereen op de hoogte te stellen die in aanmerking komt om claims in te dienen.
Op dit moment weet niemand precies hoe groot de individuele uitbetalingen zullen zijn, omdat dat cijfer zal afhangen van het totale aantal ingediende klachten als de schikking wordt bereikt. T-Mobile zegt dat iedereen wiens gegevens zijn gecompromitteerd al op de hoogte is gebracht, terwijl advocaten die mensen vertegenwoordigen die T-Mobile aanklagen, hebben gezegd dat het nog steeds mogelijk is dat er meer slachtoffers zullen worden geïdentificeerd. Ten minste één advocatenkantoor heeft een e-mailadres ingesteld om vragen te beantwoorden van iedereen die zich zorgen maakt over het mislopen van de voorgestelde schikking. In de voorgestelde schikkingsovereenkomst zei T-Mobile ook dat er een gratis nummer en website zouden worden opgezet om alle resterende vragen te beantwoorden.
In zijn verklaring zegt T-Mobile dat het “blij is dat het deze klacht voor consumentenclassificatie heeft opgelost”.
Voor T-Mobile-klanten die gewond zijn geraakt door het datalek, wordt echter niet verwacht dat de pijn ooit echt zal eindigen. In hun klacht zeggen klanten dat ze zullen blijven betalen voor de zwakke beveiligingskeuzes van T-Mobile. Ze beschouwen hun gegevens als voor altijd gecompromitteerd, en ze beweren dat ze zullen moeten betalen voor voortdurende bescherming tegen identiteitsdiefstal, terwijl de “zekere, onmiddellijke en voortdurende dreiging van fraude en identiteitsdiefstal” altijd opdoemt.
Misstappen op het gebied van gegevensbeveiliging van T-Mobile
Er ging veel mis voor het datalek van T-Mobile, maar eisers zeggen dat het bedrijf de voorwaarden van zijn eigen privacybeleid heeft geschonden door in de eerste plaats geen informatie over de inbreuk op de juiste manier bekend te maken of de juiste veiligheidsmaatregelen te nemen om gegevens redelijkerwijs te beschermen.
Misschien wel het meest duidelijke voorbeeld van het feit dat T-Mobile informatie over de inbreuk niet op de juiste manier openbaarde, was de schijnbare doofpotaffaire van gehackte accounts waar burgerservicenummers waren gelekt. In de klacht deelden klanten sms- en e-mailmeldingen die T-Mobile stuurde die het datalek veralgemeniseerden en niet waarschuwden dat het burgerservicenummer van een klant was gelekt terwijl dat wel het geval was; maar toen dat niet het geval was, stuurde T-Mobile verschillende meldingen die klanten specifiek geruststelden dat burgerservicenummers niet waren gelekt. De tegenstrijdigheid suggereert dat T-Mobile de details van het datalek volledig zal verbergen voor degenen die het meest kwetsbaar zijn voor identiteitsdiefstal.
Misschien wel de meest flagrante van de beschuldigingen die beweren dat T-Mobile geen basisstappen heeft genomen om gegevens goed te beveiligen, was een klacht dat het bedrijf niet vertrouwde op een industriestandaardpraktijk voor gegevensbescherming die ‘snelheidsbeperking’ wordt genoemd.
Snelheidsbeperking is een manier om te voorkomen dat servers worden geraakt door te veel verzoeken tegelijk. Door te beperken hoeveel verzoeken een server gedurende een bepaald tijdsbestek kan ontvangen, helpt het voorkomen dat normale gebruikers uithongeren en voorkomen dat hackers servers overspoelen met verzoeken. Iedereen die ooit is buitengesloten terwijl hij te veel mislukte aanmeldingen achter elkaar probeerde, heeft de effectiviteit van deze verdediging ervaren.
0 Comments