7 января 2025 года поступило обновление: T-Mobile сообщает, что уже давно ведет переговоры с генеральным прокурором штата Вашингтон по поводу инцидента 2021 года, и удивилась их решению подать иск. Несмотря на расхождения в позициях, компания готова продолжать диалог и рассказать, как за последние четыре года она изменила подход к кибербезопасности для лучшей защиты клиентов.
Тем временем, против T-Mobile подан новый судебный иск генеральным прокурором штата Вашингтон Бобом Фергюсоном. Он утверждает, что компания не обеспечила должную защиту более двух миллионов жителей штата от утечки данных в 2021 году. В результате атаки, которая началась в марте и обнаружилась только в августе того же года, хакеры получили доступ к внутренней сети компании и похитили данные более 79 миллионов клиентов, включая имена, номера социального страхования, адреса и номера водительских удостоверений. Эта информация была продана на темной стороне интернета.
Иск утверждает, что утечка была неизбежна из-за невнимательного отношения T-Mobile к критическим уязвимостям в области кибербезопасности. Компания не удовлетворяла отраслевые стандарты, допуская использование легких для угадывания паролей для учетных записей с чувствительной информацией. Именно так хакер смог проникнуть в базы данных компании.
Выяснилось, что структура сети была неадекватной, и не было установлено ограничений на попытки аутентификации. Системы мониторинга и оповещения T-Mobile не смогли вовремя определить присутствие хакеров, и утечка могла бы оставаться незамеченной, если бы компания не получила сообщение извне.
Несмотря на многочисленные атаки в прошлом и осознание того, что атаки продолжатся, компания не предупредила своих клиентов о возможной угрозе. Кроме того, Фергюсон обвиняет T-Mobile в занижении масштабов инцидента и недостаточном информировании жителей Вашингтона, что помешало им оценить риск кражи идентичности или мошенничества и принять меры.
Фергюсон требует введения ограничительных мер и возмещения убытков, а также компенсации судебных издержек.
В мае был арестован человек, предполагаемый виновник атаки 2021 года, Джон Биннс. T-Mobile ранее согласилась выплатить $350 миллионов для урегулирования другого коллективного иска, связанного с утечкой, а также $31,5 миллиона Федеральной комиссии по связи за инциденты, произошедшие в 2021, 2022 и 2023 годах.
