AT&T于周二与联邦通信委员会(FCC)达成了一项1300万美元的和解协议,以解决该机构对2023年1月第三方数据泄露事件的调查,此次事件导致890万客户的数据遭到泄露。
根据FCC的说法,作为和解协议的一部分,AT&T承诺加强其数据治理实践和供应链安全。AT&T被要求保护、妥善处理并限制访问客户专有网络信息,这类信息是无线运营商为内部使用和向第三方出售以用于营销目的而收集的客户账户数据。
“AT&T未能确保其供应商充分保护客户信息,”FCC执法局局长Loyaan Egal在周二的同意令中表示。“相反,这些信息在供应商的云环境中保存了多年,而在应该删除或归还AT&T后仍然存在,最终在2023年的泄露事件中曝光。”
AT&T与FCC的和解涉及一次严重的泄露事件,但多次的安全失误,包括几乎暴露所有客户数据的第三方泄露,显示出一种模式。
AT&T表示,目前已不再与涉及2023年1月数据泄露的第三方供应商合作,并指出此次泄露的数据不包括信用卡信息、社会安全号码或账户密码。
“保护客户数据仍然是我们的首要任务之一,”该公司发言人周二通过电子邮件表示。
“虽然我们的系统在此次事件中并未受到破坏,但我们正在加强内部管理客户信息的方式,并对供应商的数据管理实践实施新的要求,”发言人补充道。
ZK Research的创始人兼首席分析师Zeus Kerravala表示,AT&T同意的这些数据隐私治理改进应该早已成为其标准流程的一部分。
Kerravala说道:“有句老话是这样说的,‘骗我一次,怪你,骗我两次,怪我自己。’”
电信领域反复发生的泄露事件突显出模式
AT&T并非唯一一家经历大规模客户数据泄露的电信运营商。
T-Mobile在2018年至2023年间公开承认了八起数据泄露事件,其中最严重的一次发生在2021年8月,导致至少7660万人的个人数据被曝光。
电信网络运营商由于持有敏感数据并服务于庞大的客户群,成为网络犯罪分子的高价值目标之一。AT&T在2024年第二季度实现了39亿美元的净收入,营收为298亿美元。
2024年4月,一次针对AT&T的Snowflake环境的网络攻击,导致几乎所有电信提供商的无线客户数据遭到泄露,涉及约1.1亿人。
AT&T是超过100家受到广泛身份攻击浪潮影响的Snowflake客户之一,攻击目标是该云端数据仓库供应商的客户。攻击者在11天内访问了AT&T的Snowflake环境,并窃取了2022年为期六个月的客户通话和短信记录。
在另一起发生于3月的事件中,AT&T表示,已经确认暗网泄露的数据包括约760万现有客户和约6540万前客户的敏感信息。
“AT&T的多次数据泄露事件应该给客户敲响警钟,除非安全运营进行大规模升级,否则很可能会再次发生泄露事件,”ZK Research的Zeus Kerravala表示。
“我们依赖手机来过我们的生活。我们通过移动设备进行沟通、购物、学习、联系和娱乐,”Kerravala说。“客户信任AT&T来保护他们的数据,而这家电信公司让他们失望了。”