Verizon Communications hat sich bereit erklärt, einen Vergleich in Höhe von $16.000.000 mit der Federal Communications Commission (FCC) in den USA zu schließen. Dabei geht es um drei Datenschutzverletzungen bei seiner hundertprozentigen Tochtergesellschaft TracFone Wireless, die nach der Übernahme im Jahr 2021 aufgetreten sind.
TracFone ist ein Telekommunikationsdienstleister, der seine Dienste unter anderem über Total by Verizon Wireless, Straight Talk und Walmart Family Mobile anbietet.
Abgesehen von der saftigen zivilrechtlichen Strafe verpflichtet die angekündigte Vergleichsvereinbarung das Kommunikationsunternehmen, spezifische Maßnahmen zu ergreifen, um die Datensicherheit für seine Kunden in Zukunft zu erhöhen.
Mehrere Datenschutzverletzungen
Die Datenschutzverletzungen bei TracFone ereigneten sich zwischen 2021 und 2023 und betrafen drei verschiedene Vorfälle.
Der erste Vorfall, der als "markenübergreifend" bezeichnet wird, wurde von TracFone am 14. Januar 2022 selbst gemeldet. Das Unternehmen entdeckte ihn im Dezember 2021, aber die Untersuchung ergab, dass die Bedrohungsakteure seit Januar 2021 Zugang zu Kundendaten hatten.
Die Bedrohungsakteure hatten Zugang zu sensiblen Informationen, einschließlich personenbezogener Daten (PII) und kundeneigener Netzwerkinformationen (CPNI), und führten eine große Anzahl von nicht genehmigten Anträgen auf Nummernportierung durch.
"Im Zusammenhang mit diesem Vorfall haben Bedrohungsakteure bestimmte Schwachstellen im Zusammenhang mit der Authentifizierung und einer begrenzten Anzahl von APIs ausgenutzt", heißt es in dem Erlass.
"Durch die Ausnutzung dieser Schwachstellen konnten sich Bedrohungsakteure unbefugten Zugang zu bestimmten Kundendaten verschaffen.
Die beiden anderen Datenschutzverletzungen betreffen die Bestellwebseiten von TracFone und wurden am 20. Dezember 2022 bzw. am 13. Januar 2023 gemeldet.
In beiden Fällen nutzten nicht authentifizierte Bedrohungsakteure eine Sicherheitslücke aus, um auf Auftragsdaten, einschließlich bestimmter CPNI und anderer Kundendaten, zuzugreifen.
"Der/die Bedrohungsakteur(e) nutzte(n) zwei verschiedene Methoden, um die Schwachstelle auszunutzen (und wechselte(n) zu einer zweiten Methode, als TracFone die erste erfolgreich blockierte)", heißt es in dem FCC-Erlass.
"TracFone hat schließlich bis Februar 2023 eine langfristige Lösung für die zugrunde liegende Sicherheitslücke implementiert."
Die Anzahl der gefährdeten Personen und der SIM-Swapping-Vorfälle wurden in der öffentlichen Version des Consent Decree-Dokuments zensiert.
Die Vergleichsvereinbarung sieht vor, dass TrackFone nun bis zum 28. Februar 2025 die folgenden Maßnahmen umsetzen muss:
- Entwickeln Sie ein vorgeschriebenes Informationssicherheitsprogramm, um API-Schwachstellen zu reduzieren, indem Sie Standards wie NIST und OWASP einhalten, sichere API-Kontrollen implementieren und die Sicherheitsmaßnahmen regelmäßig testen und aktualisieren.
- Implementierung von Schutzmaßnahmen für SIM-Wechsel und Port-Out, die eine sichere Authentifizierung für SIM-Wechsel und Port-Out-Anfragen, die Benachrichtigung der Kunden über solche Anfragen und das Angebot von Nummernübertragungs-PINs beinhalten.
- Jährliche Bewertung der Informationssicherheit, um die Effektivität des Programms zu gewährleisten, und alle zwei Jahre Bewertung durch unabhängige Dritte, um die Angemessenheit und Reife des Programms zu beurteilen.
- Jährliche Schulung der Mitarbeiter zum Thema Datenschutz und Sicherheit, um ihre Fähigkeit zum Schutz von Kundendaten und zur Einhaltung von Sicherheitsprotokollen zu verbessern.
BleepingComputer hat Verizon und TracFone kontaktiert, um zu erfahren, wie viele Kunden betroffen sind, aber wir haben keine Antwort erhalten.
