US States Announce $16M Settlement With Experian, T-Mobile Over Data Breaches
2022/11/08 SecurityWeek — 2012年/2015年に Experian と T-Mobile で生じたデータ侵害をめぐり、米国 40州の当局が総額 $16 million 以上の和解に合意した。Experian との複数州での和解金は総額 $13.67 million 以上、T-Mobile との和解金は $2.5 million となった。さらに、各社は、データ・セキュリティの実践を改善するための措置を講じることに同意している。
月曜日のプレス・リリースにより各州の司法長官は、これらの和解から受け取る、それぞれの金額を公表した。例えば、ハワイは約 $180,000/マサチューセッツは $625,000 以上/ニュージャージーは $500,000/ペンシルバニアは $460,000/ミシガンは $360,000/ネブラスカは $140,000 を受け取ることになる。
今回の和解には、2つのサイバーセキュリティ・インシデントが関連している。
1つ目のインシデントは 2012年に発生したもので、私立探偵を装った ID 泥棒が Experian のサービスを悪用して機密の個人情報を入手していると、シークレット・サービスが同社の子会社に対して警告を発したことから明るみに出た。このインシデントでは、個人情報を求めるクエリーが 300万件以上発生した。
この ID 泥棒は捕まり起訴されたが、当局は、Experian が影響を受けた個人に情報漏洩を通知しなかったことを問題視していた。
続いて、Experian は 2015年に、ハッカーが 1500万人の T-Mobile の顧客情報を保存するネットワーク・セグメントにアクセスしたインシデントを公表した。これらの顧客データは、T-Mobile が顧客のクレジット申請を処理するために保管されていた。
当時 Experian は、被害を受けた顧客に通知し、2年間の無料信用調査サービスを提供した。しかし当局は、サイバーセキュリティの不備があったとして、信用調査会社に対して措置を講じることを決定した。
今週発表された和解案の一部として、 Experian は包括的な情報セキュリティ・プログラムを導入し、今後このようなインシデントが起こらないようにするための、その他の措置を講じることが必要となる。
また、2015年に提供された2年間と、2019年の集団訴訟の和解の結果に提供された2年間に加えて、影響を受けた消費者に5年間の無料信用監視サービスを提供することが義務付けられる予定だ。
T-Mobile については、顧客のデータを扱う各ベンダーが、預かった機密情報を保護できるよう、第三者への監視を強化することが求められている。
T-Mobile における問題は、2021年8月の「T-Mobile 1億人分の顧客データが盗まれた:背景には FBI / CAI への報復」から始まり、ブルートフォースによる突破があり、SIM スワップ、ダークウェブでの個人情報販売といった報道が続きました。2022年になっても、SMS フィッシングや、盗み出された認証情報による侵入などが報じられていました。その一方で、デジタル ID プロバイダーの Experian ですが、このブログ内の記事から調べた範囲では、T-Mobile との関連性が把握できませんでした。
IoT OT Security News 
You must be logged in to post a comment.