El estado de Washington demandó a T-Mobile por presuntas fallas en la seguridad de los datos personales de millones de residentes del estado antes de una violación de datos en agosto de 2021, que afectó a más de 79 millones de clientes en Estados Unidos.
En un comunicado anunciando la demanda, el fiscal general de Washington, Bob Ferguson, dijo que T-Mobile 'sabía desde hace años sobre ciertas vulnerabilidades en ciberseguridad y no hizo lo suficiente para solucionarlas'. Ferguson dijo que la demanda busca daños financieros bajo las leyes de protección al consumidor del estado y ordenar a T-Mobile que mejore sus políticas de ciberseguridad.
El hackeo contra T-Mobile en agosto de 2021 fue el último de una serie de violaciones de datos en la empresa en los últimos años, con al menos cinco incidentes de seguridad desde 2018 según TechCrunch. La violación permitió a un hacker acceder a los sistemas de T-Mobile y extraer los nombres de los clientes, fechas de nacimiento y números de Seguro Social, así como información de licencias de conducir. Algunos de los datos de clientes de T-Mobile robados fueron posteriormente publicados en un foro de cibercriminales conocido.
Ferguson acusó a T-Mobile de proporcionar un aviso inadecuado a los clientes afectados tras la violación que 'omitió información crítica y minimizó la gravedad', lo que, según Ferguson, afectó la capacidad de los consumidores para evaluar su riesgo de robo de identidad o fraude.
'Esta violación de datos significativa podría haberse evitado por completo', citó Ferguson en el comunicado de prensa. 'T-Mobile tuvo años para solucionar vulnerabilidades clave en sus sistemas de ciberseguridad, y falló'.
La demanda, presentada en un tribunal federal de Seattle, contenía redacciones significativas que ocultaban detalles técnicos específicos del hackeo de agosto de 2021, pero la denuncia parece detallar presuntas deficiencias técnicas de seguridad y políticas internas de la empresa que podrían haber facilitado al hacker el acceso y descarga de datos de clientes de los servidores de T-Mobile.
Las partes no redactadas señalan que el hacker que apuntaba a T-Mobile descubrió un 'nombre de usuario y contraseña fácilmente adivinables'; que T-Mobile 'utilizó credenciales débiles' en las cuentas para acceder a sus sistemas internos; y que T-Mobile 'permitió la conexión desde la dirección IP del actor malintencionado' desde fuera de su red. La denuncia también dice que T-Mobile no implementó límites de velocidad en los intentos de inicio de sesión, lo que permitió al hacker probar libremente tantas credenciales sin bloquear las cuentas de los empleados en cuestión.
La demanda también dice que la 'configuración de monitoreo y alerta inadecuada' de la empresa facilitó que el hacker accediera a la red de T-Mobile sin ser notado.
La queja de Ferguson agrega que las declaraciones públicas de T-Mobile tergiversaron la adecuación de sus defensas cibernéticas y la amenaza para los datos de los clientes de T-Mobile encontrados en la web oscura, y dijo que la conducta de la empresa 'tenía la capacidad de engañar a un número sustancial de consumidores de Washington'.
Cuando se contactó a T-Mobile antes de la publicación, la compañía no proporcionó comentarios en ese momento. En un comunicado proporcionado por la portavoz de T-Mobile, Michelle Jacob, después de que se publicara esta historia, la empresa dijo que la demanda fue una 'sorpresa'.
'Si bien no estamos de acuerdo con su enfoque y las afirmaciones presentadas, estamos abiertos a un diálogo posterior y damos la bienvenida a la oportunidad de resolver este problema, como ya lo hicimos con la FCC', dijo el comunicado.
Actualizado con comentarios de T-Mobile.
