O estado de Washington está processando a T-Mobile por supostamente falhar em abordar vulnerabilidades de cibersegurança que permitiram a um hacker expor os dados pessoais de 79 milhões de pessoas em todo o país.
A ação de proteção ao consumidor foi apresentada pelo Procurador-Geral de Washington, Bob Ferguson, na segunda-feira e se baseia em um ataque cibernético que começou em março de 2021 e passou despercebido até que a T-Mobile divulgou a violação em agosto.
O processo afirma que a T-Mobile não abordou certas vulnerabilidades de segurança das quais a empresa estava ciente “por anos” e não notificou adequadamente mais de dois milhões de residentes de Washington que foram impactados pela violação. A ação acusa a T-Mobile de minimizar a gravidade da violação, que expôs informações pessoais de clientes atuais, antigos e potenciais — incluindo nomes, números de telefone, endereços físicos, datas de nascimento, números de Seguro Social e números de carteira de motorista/ID.
As notificações que a T-Mobile emitiu sobre a violação de dados violaram a Lei de Proteção ao Consumidor ao omitir informações-chave que dificultaram para as pessoas avaliarem se estavam em risco de roubo de identidade ou fraude, de acordo com o processo. A ação também afirma que a T-Mobile “não atendeu aos padrões da indústria para cibersegurança” por anos antes do hack e usou “senhas óbvias” para proteger contas que podiam acessar informações dos consumidores.
“Essa violação significativa de dados era totalmente evitável”, disse Ferguson em um comunicado. “A T-Mobile teve anos para corrigir vulnerabilidades-chave em seus sistemas de cibersegurança — e falhou.”
Esta não é a primeira vez que o estado de Washington toma medidas contra a T-Mobile, com Ferguson tendo persuadido com sucesso a empresa a esclarecer as limitações de seu plano de serviço sem contrato em 2013.
A mais recente ação de Ferguson busca compensação para os clientes impactados pela violação de 2021 e uma ordem judicial que obrigaria a T-Mobile a alinhar suas práticas de cibersegurança aos padrões da indústria, além de melhorar a transparência e a comunicação em torno de futuras violações de dados. Isso se segue ao pagamento de $350 milhões pela T-Mobile em 2022 para resolver uma ação coletiva decorrente do hack de 2021 e uma multa adicional de $15,75 milhões no ano passado devido a uma investigação da FCC sobre seus repetidos incidentes de cibersegurança.