AT&T hat sich bereit erklärt, eine Geldstrafe von 13 Millionen Dollar zu zahlen, weil das Unternehmen Kundenrechnungsdaten an einen Anbieter weitergegeben hat, um personalisierte Videos zu erstellen, und dann angeblich nicht dafür gesorgt hat, dass der Anbieter die Daten vernichtet, wenn sie nicht mehr benötigt werden. Zusätzlich zur Geldstrafe hat AT&T strengere Kontrollen bei der Weitergabe von Daten an Anbieter in einem Zustimmungsbeschluss gab die Federal Communications Commission heute bekannt.
Im Januar 2023, Jahre nachdem die Daten vernichtet werden sollten, kam es zu einem Datendiebstahl, „als Bedrohungsakteure auf die Cloud-Umgebung des Anbieters zugriffen und schließlich Kundeninformationen von AT&T exfiltrierten“, so die FCC. Informationen zu 8,9 Millionen Mobilfunkkunden von AT&T wurden offengelegt.
Telefongesellschaften seien per Gesetz dazu verpflichtet, Kundeninformationen zu schützen, und AT&T hätte sich nicht einfach auf die Zusicherung von Drittfirmen verlassen dürfen, dass sie die Daten vernichten würden, wenn diese nicht länger benötigt würden, erklärte die FCC.
“AT&T nutzte den Anbieter, um personalisierte Videoinhalte, einschließlich Abrechnungs- und Marketingvideos, für AT&T-Kunden zu erstellen und zu hosten”, heißt es in einer FCC-Mitteilung. Pressemitteilung sagte. „Gemäß den Verträgen mit AT&T hätte der Lieferant Kundendaten von AT&T vernichten oder zurückgeben müssen, wenn diese nicht mehr zur Erfüllung der vertraglichen Verpflichtungen erforderlich waren, die Jahre vor dem Verstoß endeten. AT&T hat es versäumt, dem Lieferanten Folgendes zu gewährleisten: (1) die Kundendaten angemessen zu schützen und (2) sie wie vertraglich vorgeschrieben zurückzugeben oder zu vernichten.“
Die Daten „verblieben viele Jahre lang in der Cloud-Umgebung des Anbieters, nachdem sie gelöscht oder an AT&T zurückgegeben werden sollten, und wurden schließlich bei dem Datendiebstahl im Januar 2023 offengelegt“, heißt es in einer Anordnung des FCC Enforcement Bureau.
Daten hätten 2018 gelöscht werden sollen
AT&T teilte der FCC mit, dass es zwischen 2015 und 2017 Kundendaten an den Anbieter weitergegeben habe und dass die Daten bis 2018 „sicher vernichtet oder gelöscht“ werden sollten. Zu den offengelegten Daten gehörten „die Anzahl der Anschlüsse aller betroffenen Kunden sowie Rechnungssaldo- und Zahlungsinformationen und Name und Funktionen des Tarifplans für etwa ein Prozent der betroffenen Kunden“, so die FCC.
AT&T teilte Ars heute mit, dass die Daten „keine Kreditkarteninformationen, Sozialversicherungsnummern, Kontopasswörter oder andere sensible persönliche Informationen enthielten“. AT&T sagte, es habe die Kunden im März 2023 über den Verstoß informiert.
„AT&T erklärte, dass es die betroffenen Kundenkonten nach dem Vorfall überwacht und keine Hinweise auf AT&T-Kontobetrug oder andere rechtswidrige oder nicht autorisierte Aktivitäten im Zusammenhang mit dem Verstoß gefunden habe“, heißt es in der Zustimmungsvereinbarung. „Laut AT&T waren die Portierungs-, SIM-Tausch- und Gerätebetrugsraten für betroffene Kunden nach dem Vorfall durchweg niedriger als die Raten für die allgemeine Bevölkerung der AT&T Mobility-Kunden über alle Kontotypen hinweg.“
Auf Anfrage von Ars reagierte AT&T nicht direkt auf die Behauptung der FCC, dass das Unternehmen nicht dafür gesorgt habe, dass der Anbieter die Kundendaten schütze. AT&T gab uns eine Stellungnahme, in der es hieß: „Bei einem unserer früheren Anbieter kam es im letzten Jahr zu einem Sicherheitsvorfall, bei dem Daten einiger unserer Mobilfunkkunden offengelegt wurden. Obwohl unsere Systeme bei diesem Vorfall nicht kompromittiert wurden, verbessern wir derzeit die interne Verwaltung von Kundendaten und setzen neue Anforderungen an die Datenverwaltungspraktiken unserer Anbieter um.“
