Dalam hal keamanan siber, tahun 2024 akan menjadi tahun yang sangat sial bagi AT&T. Instansi seperti SEC dan maskapai penerbangan sendiri telah mengkonfirmasi beberapa insiden pelanggaran data yang mempengaruhi jutaan data pelanggan. Sekarang, FCC mengatakan bahwa AT&T bisa mencegah salah satu kebocoran data pelanggan terkait peretasan vendor cloud-nya, tapi ternyata tidak.
AT&T mendenda $13 juta untuk pelanggaran data tahun 2023 terkait vendor cloud
Pada bulan April tahun ini, AT&T menemukan bahwa tim peretas telah melanggar keamanan salah satu vendor cloud-nya dan mengungkapkannya secara publik. Peretas dapat mengunduh jutaan catatan panggilan dan teks pelanggan operator. Operator seluler tersebut kini menghadapi denda $13 juta karena kegagalannya melindungi data. Lebih lanjut, lembaga pemerintah membeberkan lebih detail mengenai kejadian tersebut
Nama vendor cloud yang keamanannya dilanggar tidak diketahui, seperti laporan publik FCC menyebutnya sebagai “Penjual X.” Menurut laporan tersebut, AT&T memberikan “Vendor X” akses ke data pelanggan dari 2015 hingga 2017 untuk membuat video yang dipersonalisasi terkait penagihan dan pemasaran. Klausul dalam perjanjian menyatakan bahwa data harus “dimusnahkan atau dihapus dengan aman” pada tahun 2018. Namun, baik AT&T maupun vendor cloud tidak menjamin pemusnahan data.
Pelanggaran data dimulai pada awal tahun 2023, beberapa tahun setelah batas waktu tahun 2018. Jadi, pada dasarnya, peretas memiliki akses terhadap informasi yang seharusnya dihancurkan bertahun-tahun yang lalu. Itu FCC diungkapkan bahwa tim peretas berhasil mengunduh data dari sekitar 8,9 juta pelanggan nirkabel AT&T.
Itu harus menetapkan prosedur baru untuk menangani data pelanggan
Kegagalan AT&T untuk mengambil tindakan yang tepat merupakan pelanggaran terhadap undang-undang perlindungan data yang harus dipatuhi oleh semua operator. Akibatnya, perusahaan tersebut didenda $13 juta dan dipaksa menciptakan metode baru untuk mengelola informasi pelanggan. Denda finansial bersifat “simbolis” mengingat keuntungan perusahaan yang mencapai miliaran dolar. Berinvestasi pada sistem dan prosedur keamanan baru kemungkinan akan memakan biaya lebih besar.
Untungnya, peretas tidak mengakses data yang sangat sensitif seperti nomor jaminan sosial atau nomor kartu kredit. Namun, mengejutkan bahwa AT&T mengabaikan keamanan jutaan data pelanggan. Tahun ini, AT&T mengonfirmasi pelanggaran data terpisah yang melibatkan Snowflake, penyedia cloud lainnya. Peretasan ini sangat parah, memengaruhi catatan panggilan dan SMS dari Mei hingga Oktober 2022 dari “hampir semua” pelanggan AT&T.
