Verizon Communications, ABD'de Federal İletişim Komisyonu (FCC) ile, tamamen sahip olduğu iştiraki Tracfone Wireless'ın 2021'de satın alınmasından sonra yaşanan üç veri ihlali olayıyla ilgili 16.000.000 dolarlık bir anlaşma ödemeyi kabul etti.
Tracfone, diğerlerinin yanı sıra Verizon Wireless, Straight Talk ve Walmart Family Mobile tarafından Total aracılığıyla hizmet sunan bir telekomünikasyon hizmet sağlayıcısıdır.
Açıklanan uzlaşma anlaşması, ağır medeni cezanın yanı sıra, iletişim firmasının müşterileri için veri güvenliği düzeyini artırmak için özel önlemler uygulamasını gerektirir.
Tracfone'daki veri ihlalleri, üç ayrı olayı içeren 2021 ve 2023 yılları arasında meydana geldi.
Birincisi, 'çapraz marka' olayı olarak adlandırılan, 14 Ocak 2022'de Tracfone tarafından kendi kendine bildirildi. Şirket, Aralık 2021'de keşfetti, ancak soruşturma, tehdit aktörlerinin Ocak 2021'den bu yana müşteri verilerine erişebildiğini gösterdi. .
Tehdit aktörleri, kişisel olarak tanımlanabilir bilgiler (PII) ve Müşteri Özel Ağ Bilgileri (CPNI) dahil olmak üzere hassas bilgilere erişim ile çok sayıda yetkisiz sayı taşıma isteği onayları gerçekleştirdi.
Kararname, "Bu olayla bağlantılı olarak, tehdit aktörleri kimlik doğrulama ve sınırlı sayıda API ile ilgili bazı güvenlik açıklarından yararlandı."
"Bu güvenlik açıklarından yararlanarak, tehdit aktörleri belirli müşteri bilgilerine yetkisiz erişim elde edebildiler."
Diğer iki veri ihlali olayları, sırasıyla 20 Aralık 2022 ve 13 Ocak 2023'te bildirilen Tracfone'un sipariş web siteleriyle ilgilidir.
Her iki durumda da, kimliği doğrulanmamış tehdit aktörleri, bazı CPNI ve diğer müşteri verileri de dahil olmak üzere sipariş bilgilerine erişmek için bir güvenlik açığından yararlandı.
FCC'nin kararnamesi belgesini, "Tehdit oyuncusu (lar) güvenlik açığından yararlanmak için iki farklı yöntem kullandı (tracfone birincisini başarıyla engellediğinde ikinci bir yönteme geçiş)."
"Tracfone nihayetinde temel güvenlik açığı için Şubat 2023'e kadar uzun vadeli bir düzeltme uyguladı."
Maruz kalan bireylerin sayısı ve SIM değiştirme olayları, onay kararnamesi belgesinin genel versiyonunda sansürlendi.
Uzlaşma Anlaşması, Trackfone'un artık 28 Şubat 2025'e kadar aşağıdaki önlemleri uygulamak zorunda kalacağını zorunlu kılmaktadır:
BleepingComputer, kaç müşterinin etkilendiğini sormak için Verizon ve Tracfone ile iletişime geçti, ancak bir cevap almadık.
Breachforums V1 Veritabanı Sızıntısı, bilgisayar korsanları için bir OPSEC testidir
Breachforums V1 Hacking Forum Veri Sızıntısı üyelerin bilgilerini ortaya çıkarır
Yunanistan’ın Arazi Sicil Ajansı 400 Cyberattacks dalgasında ihlal etti
ABD Yaptırımları Su tesislerini ihlal eden Rus hacktivistleri
İspanya, DDosia hacktivist platformunu kullandığı için üçünü tutukladı
Kaynak: Bleeping Computer