Lorsque T-Mobile a compromis les informations personnelles sensibles de plus de 76 millions de clients actuels, anciens et potentiels en 2021, les plaignants impliqués dans un recours collectif se sont plaints que la société continuait de profiter de leurs données tout en tentant de dissimuler « l’un des plus grands et les violations de données les plus importantes de l’histoire des États-Unis.
Maintenant, T-Mobile n’a admis aucune culpabilité mais a accepté de payer un règlement de 500 millions de dollars (en attendant l’approbation d’un juge), dont 350 millions de dollars iront au fonds de règlement et « au moins 150 millions de dollars » iront à l’amélioration de la sécurité de ses données. mesures jusqu’en 2023.
T-Mobile a refusé d’informer Ars des plans spécifiques à venir pour améliorer la sécurité des données, se référant plutôt à une déclaration décrivant les mesures qu’il a prises pour « doubler » la sécurité au cours de l’année écoulée. Cela comprend la création d’un bureau de transformation de la cybersécurité qui relève directement du PDG de T-Mobile, Mike Sievert ; collaborer avec des entreprises de cybersécurité pour « transformer davantage notre programme de cybersécurité » ; intensifier la formation des employés à la cybersécurité ; et investir « des centaines de millions de dollars pour améliorer nos outils et capacités de cybersécurité actuels ».
Tous les paiements des clients de T-Mobile provenant du règlement proposé seront versés par l’intermédiaire d’un administrateur de règlement tiers indépendant. L’accord stipule que T-Mobile disposera de 10 jours pour envoyer des fonds à l’administrateur du règlement afin de lancer le processus de notification à tous ceux qui ont été jugés éligibles pour déposer des réclamations.
À l’heure actuelle, personne ne sait exactement quelle sera l’importance des paiements individuels, car ce chiffre dépendra du nombre total de plaintes déposées si le règlement est conclu. T-Mobile affirme que toutes les personnes dont les données ont été compromises ont déjà été informées, tandis que les avocats représentant les personnes poursuivant T-Mobile ont déclaré qu’il était toujours possible que d’autres victimes soient identifiées. Au moins un cabinet d’avocats a créé une adresse e-mail pour répondre aux questions de toute personne craignant de manquer le règlement proposé. Dans l’accord de règlement proposé, T-Mobile a également déclaré qu’un numéro sans frais et un site Web seraient mis en place pour répondre à toutes les questions restantes.
Dans sa déclaration, T-Mobile se dit « heureux d’avoir résolu ce recours collectif des consommateurs ».
Pour les clients de T-Mobile blessés par la violation de données, la douleur ne devrait cependant pas vraiment s’arrêter. Dans leur plainte, les clients disent qu’ils continueront à payer pour les faibles choix de sécurité de T-Mobile. Ils considèrent leurs données comme compromises à jamais et affirment qu’ils devront payer pour une protection continue contre le vol d’identité à l’avenir, avec la «menace certaine, imminente et continue de fraude et de vol d’identité» qui se profile toujours.
[Update: Attorney Cari Laufenberg, co-lead counsel for plaintiffs, provided a link to T-Mobile’s settlement website for updates and says, « The settlement provides unprecedented relief to a class of this size and was achieved early in the litigation, meaning benefits will be in the hands of class members much sooner than can usually be accomplished in these cases. »]
Les faux pas de T-Mobile en matière de sécurité des données
Beaucoup de choses ont mal tourné pour que la violation de données de T-Mobile se produise, mais les plaignants affirment que la société a enfreint les termes de sa propre politique de confidentialité en ne divulguant pas correctement les informations sur la violation ou en créant des garanties appropriées pour protéger raisonnablement les données en premier lieu.
L’exemple peut-être le plus simple de T-Mobile ne divulguant pas correctement les informations sur la violation était dans sa dissimulation apparente de comptes piratés où des numéros de sécurité sociale ont été divulgués. Dans la plainte, les clients ont partagé des notifications par SMS et par e-mail envoyées par T-Mobile qui ont généralisé la fuite de données et n’ont pas averti que le numéro de sécurité sociale d’un client avait été divulgué alors qu’il l’était ; mais quand ce n’était pas le cas, T-Mobile a envoyé différentes notifications qui ont spécifiquement rassuré les clients sur le fait que les numéros de sécurité sociale n’avaient pas été divulgués. La contradiction suggère que T-Mobile a délibérément caché les détails de la violation de données aux personnes les plus vulnérables au vol d’identité.
Peut-être la plus flagrante parmi les allégations affirmant que T-Mobile n’a pas pris les mesures de base pour protéger correctement les données était une plainte selon laquelle la société ne s’appuyait pas sur une pratique standard de l’industrie pour la protection des données appelée « limitation de débit ».
La limitation du débit est un moyen d’empêcher les serveurs d’être touchés par trop de requêtes à la fois. En limitant le nombre de requêtes qu’un serveur peut recevoir au cours d’une période donnée, cela aide à prévenir la pénurie de ressources pour les utilisateurs normaux et empêche les pirates d’inonder les serveurs de requêtes. Quiconque a déjà été bloqué en tentant trop de tentatives de connexion infructueuses à la suite a pu constater l’efficacité de cette défense.