T-Mobile steht vor einer zweiten Klage wegen einer Datenschutzverletzung im Jahr 2021, von der 80 Millionen Nutzer betroffen waren. Der KlageIn der vom Generalstaatsanwalt des US-Bundesstaates Washington, Bob Ferguson, eingereichten Klage wird behauptet, T-Mobile habe es versäumt, bekannte Cybersicherheitslücken in seinen Systemen zu schließen.
T-Mobile steht wegen Datenschutzverletzung im Jahr 2021 vor einer zweiten Klage
Ferguson gab an, dass T-Mobile Jahre Zeit hatte, „wichtige Schwachstellen zu beheben“ und warf dem Unternehmen vor, keine angemessenen Maßnahmen zur Sicherung seiner Systeme ergriffen zu haben. In der Klage wird außerdem behauptet, T-Mobile habe Kunden hinsichtlich seiner Sicherheitspraktiken in die Irre geführt, die Benachrichtigung der Einwohner Washingtons über den Verstoß verzögert und die Schwere des Verstoßes heruntergespielt.
„Vor August 2021 erfüllte T-Mobile jahrelang nicht die Industriestandards für Cybersicherheit und wusste von diesen Schwachstellen. Dazu gehörten unzureichende Prozesse zur Identifizierung und Bewältigung von Sicherheitsbedrohungen sowie ein systemischer Mangel an Aufsicht. In einigen Fällen verwendete T-Mobile offensichtliche Passwörter, um Konten zu schützen, die Zugriff auf vertrauliche persönliche Daten von Kunden hatten. Der Verstoß im Jahr 2021 wurde teilweise dadurch ermöglicht, dass der Hacker offensichtliche Zugangsdaten vermutete, um sich Zugang zu den internen Datenbanken von T-Mobile zu verschaffen“, heißt es in der Klageschrift.
Ihre T-Mobile-Daten wären fast gestohlen worden: So ist es passiert
Das Unternehmen erfuhr erst im August 2021 von dem Verstoß, der im März 2021 stattgefunden hatte. Hacker griffen auf sensible Kundendaten zu, darunter Namen, Telefonnummern, Adressen, Geburtsdaten, Sozialversicherungsnummern, Führerschein- und Ausweisinformationen sowie Gerätekennungen. Die kompromittierten Daten wurden anschließend verkauft.
Die für den Verstoß verantwortliche Person beschrieb die Sicherheit von T-Mobile als „schrecklich“ und deutete an, dass der Angriff durch die Entdeckung eines ungeschützten Routers erleichtert wurde, der den Zugriff auf das Rechenzentrum von T-Mobile in Washington ermöglichte.
Als Reaktion auf den Verstoß entschuldigte sich T-Mobile und verpflichtete sich, seine Sicherheitsmaßnahmen durch die Zusammenarbeit mit Cybersicherheitsexperten zu verbessern.
Die aktuelle Klage zielt auf Entschädigung für die von dem Verstoß betroffenen Einwohner Washingtons und auf eine einstweilige Verfügung, um Verbesserungen in den Cybersicherheitsprotokollen von T-Mobile anzuordnen.
T-Mobile hatte zuvor im Jahr 2022 eine Sammelklage im Zusammenhang mit der Datenschutzverletzung auf Kosten von 350 Millionen US-Dollar beigelegt und wurde vom Ausschuss für Auslandsinvestitionen in den USA (CFIUS) mit einer Geldstrafe von 60 Millionen US-Dollar belegt, weil das Unternehmen den unbefugten Zugriff auf sensible Kundendaten nicht verhindert oder offengelegt hatte.
Hervorgehobener Bildnachweis: appshunter.io/Unsplash
