本文来自微信公众号“安全内参”。
安全内参9月19日消息,美国联邦通信委员会(FCC)与AT&T就2023年1月发生的重大数据泄露事件达成了一项1300万美元(约合人民币9181万元)的和解协议。该事件源自AT&T的一家第三方云服务供应商。
供应商未能按时删除数据并泄露,
FCC要求甲方严格落实审查责任
此次数据泄露导致AT&T超过890万名移动客户的信息被窃取。根据和解协议,一家未具名的公司,负责为AT&T提供用于营销、账单处理和生成个性化视频内容的服务,是此次事件的罪魁祸首。协议中提到,AT&T为了使用这家供应商的服务,与其共享了包括用户数据在内的大量客户信息。
AT&T与该供应商之间签署的合同中,明确规定了对这些数据进行保护和处理的要求。2016年至2020年间,经过多次审查和评估,表明该供应商遵循了数据删除政策。
然而,在2023年1月的泄露事件中,本应在2017年或2018年删除的数据被盗。FCC最终认定,AT&T对这一失误负有不可推卸的最终责任。
9月17日,在华盛顿召开的全球年度数据隐私会议上,FCC执法局局长Loyaan Egal指出,这份和解协议提醒企业,FCC正对企业在供应链中如何确保客户数据安全给予更为严格的审查。
他表示:“当我们调查美国境内企业的数据泄露事件时,若涉及到供应商,我们会重点关注这些供应商的所在地以及他们的数据保留情况。这些供应商是否有权保留被泄露的数据?你们能否有效追踪这些第三方所使用的数据?”
AT&T推进数据泄露响应工作,
并将实施改进计划
根据和解协议,AT&T于2023年1月6日向该供应商通报了数据泄露事件,并于同年2月7日通过在线报告表格向政府报告了此次事件。被盗数据包括客户账号中涉及的电话号码数量、账单余额、支付信息,以及针对约8.9万名受影响客户的1%的费率计划名称。
除了支付1300万美元的罚款外,AT&T还与政府达成了一项同意令,承诺对其在云端存储和保护客户数据的方式进行一系列改进。这些改进措施包括年度合规审计,以及制定一项“全面的”信息安全计划,以更好地保护敏感的客户数据。
此外,该协议要求AT&T加强对其第三方供应商生态系统的监管。具体措施包括限制对敏感客户数据的访问权限、改进对与供应商共享信息的追踪方式、严格执行数据处理要求,以及加强对供应商在其系统和网络中采用的数据保护政策和措施的监督。
在接受外媒CyberScoop采访时,AT&T发言人Alexander Byers表示,该公司从2023年3月开始通知客户此次数据泄露事件,且被盗的数据并不包括信用卡信息、社会安全号码或账户密码。
Byers在一份电子邮件声明中称:“尽管我们的系统并未在此次事件中遭到攻破,我们仍着手改进内部客户信息管理方式,并对供应商的数据管理实践实施了新的要求。”
尽管此次和解结束了FCC对2023年1月供应商云端泄露事件的调查,但FCC仍在继续调查另一宗规模更大的AT&T数据泄露事件。该事件于2023年7月曝光,黑客通过攻击第三方云平台Snowflake,窃取了几乎所有客户长达六个月的电话和短信记录。