AT&T已同意向FCC支付1300万美元,以和解2023年第三方供应商云环境数据泄露事件。
美国无线运营商AT&T已同意就2023年数据泄露事件向联邦通信委员会 (FCC) 支付1300万美元的和解金。
该事件于2023年3月披露,是第三方供应商遭受网络攻击的结果,导致大约900万AT&T客户的客户专有网络信息 (CPNI) 遭到泄露。
AT&T 在发送给受影响客户的电子邮件通知中写道:“在我们的行业中,CPNI 是与您从我们这里购买的电信服务相关的信息,例如账户上的线路数量或您订阅的无线套餐。”
AT&T当时表示,第三方供应商提供营销服务,泄露的数据不包含财务或个人信息,例如社保号、账户密码、信用卡或其他敏感信息。
2024 年 9 月 17 日,FCC 宣布了一项同意令,以解决其对 AT&T 是否未能保护客户信息、在未经客户批准的情况下不当使用和披露 CPNI、未能识别和阻止访问 CPNI 的尝试以及在数据泄露事件中从事“不公正和不合理的隐私、网络安全和供应商管理实践”的调查。
根据同意令,供应商应该“根据 AT&T 与供应商签订的相关合同,在 2023 年违约发生之前的几年销毁或归还 AT&T 客户信息”。
同意令中写道:“AT&T 未能确保其供应商充分保护客户信息;相反,这些信息本应被删除或返回给 AT&T,但却在供应商的云环境中保留了多年,最终在 2023 年的违规行为中暴露出来。”
作为和解协议的一部分,该无线运营商将支付 1300 万美元的民事罚款,并承诺加强其数据治理实践,以确保消费者的敏感数据免受类似威胁。
AT&T 需要限制供应商对客户 CPNI 和其他敏感信息的访问和处置,实施涵盖客户信息的全面安全计划,将客户数据作为其数据库存计划的一部分进行跟踪,实施供应商控制和监督,要求供应商遵守保留和处置义务,并进行年度合规审计。
美国联邦通信委员会 (FCC) 表示 ( PDF ), AT&T 将投入大量资金来加强与第三方共享的客户信息保护,这些投资预计将远远超过民事处罚。
同意令中写道:“委员会将要求 AT&T 对其数据保护实践做出强制性变更,以遵守本同意令、《通信法》和委员会今后的规则。”
AT&T 提供了以下声明:
“保护客户数据仍然是我们的首要任务之一。我们之前使用的一家供应商去年发生了一起安全事故,泄露了我们部分无线客户的数据。虽然我们的系统在这次事故中没有受到影响,但我们正在改进内部管理客户信息的方式,并对供应商的数据管理实践实施新的要求。”
原文始发于微信公众号(河南等级保护测评):AT&T将就2023年数据泄露事件支付1300万美元和解金
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论