ABD’nin en büyük mobil operatörü ve dünyanın en büyük telekomünikasyon şirketlerinden birisi olan AT&T, abone veri tabanını etkileyen veri ihlali nedeniyle oldukça zor günler geçiyor. Veri ihlali iddialarını önce reddeden ancak geçtiğimiz hafta kabul etmek zorunda kalan firma, şimdi bireysel ve toplu davalarla karşı karşıya. Cumartesi gününden bu yana şirkete 10’un üzerinde dava açılmış durumda.
Bu davalardan biri, davacı Patricia Dean ve benzer durumdaki kişileri temsil eden Morgan & Morgan tarafından yürütülüyor. Bu hukuk bürosu kısa bir süre önce Google’a karşı Incognito gizlilik davasını yürütmüş ve teknoloji devini mahkemelerde dört yıl süren mücadelenin ardından bir anlaşmaya zorlamıştı. Dava, AT&T’nin müşterilerin kişisel verilerini yeterince koruyamadığını, bunun da 73 milyon kişinin hassas bilgilerini açığa çıkaran bir siber saldırıya ve ardından veri ihlaline yol açtığını iddia ediyor.
İfşa edilen veriler arasında AT&T müşterilerinin isimleri, adresleri, telefon numaraları, doğum tarihleri, Sosyal Güvenlik Numaraları ve e-posta adresleri yer alıyor. Toplu dava, ilk olarak 2021 yılında, o dönemde AT&T’yi hacklediğini ve verileri satmaya çalıştığını iddia eden tehdit aktörü Shiny Hunters tarafından yayınlanan bir veri ihlaliyle ilgili. AT&T ilk etapta bu iddiaları yalanlamıştı ancak 17 Mart 2024’te, ‘MajorNelson’ adlı başka bir tehdit aktörü, Shiny Hunters’ın saldırısıyla aynı olduğunu açıklayarak tüm veritabanını bir bilgisayar korsanlığı forumunda ücretsiz olarak sızdırdı.
Bir iç soruşturmanın ardından, telekom devi sonunda 30 Mart 2024 tarihinde, açığa çıkan verilerin 7,6 milyon mevcut AT&T hesap sahibine ve yaklaşık 65,4 milyon eski hesap sahibine ait olduğunu kabul etti. Şirket ayrıca 7,6 milyon müşteriye ait AT&T şifrelerinin de sızıntıda açığa çıktığını söyledi. Bu şifreler yapılandırıldıklarında sadece müşteri desteği almak ya da hassas hesap değişiklikleri yapmak için kullanılıyor. Ancak bu verilerin tehdit aktörlerine ifşa edilmesi, saldırganların hesaplara daha kolay erişim sağlamasına olanak tanıyabilir.
AT&T sızdırılan verilerin 2019 ve öncesine ait olduğuna inandıklarını ancak kendi sistemlerinden mi yoksa bir iş ortağından mı geldiğini belirleyemediklerini söyledi. Firmanın sızan verilerin kaynağı ve gerçekliği hakkındaki ilk ve sonraki inkarları ve zamanında yapılan soruşturmalarla kaynağını belirleyememesi, şimdi dava konusu oldu.
AT&T güvenlik açığını bilmesine rağmen harekete geçmedi mi?
Dean’in şikayetinde, AT&T’nin yetersiz güvenlik önlemleri ve veri ihlali hakkında zamanında ve yeterli bildirimde bulunmamasının, müşterileri kimlik hırsızlığı ve çeşitli dolandırıcılık türleri de dahil olmak üzere önemli risklere maruz bıraktığı iddia ediliyor. Dava AT&T firmasını ihmal, zımni sözleşmenin ihlali ve sebepsiz zenginleşme ile suçluyor. Tazminat, eski hale iade, ihtiyati tedbir, AT&T’nin veri güvenliği protokollerinde iyileştirmeler, gelecekteki denetimler, şirket tarafından finanse edilen kredi izleme hizmetleri ve jürili bir yargılama talep ediyor.
Bir Morgan & Morgan sözcüsü yaptığı açıklamada “Ülkedeki en büyük telekomünikasyon şirketi olarak AT&T’nin mevcut ve eski müşterilerinin hassas bilgilerini korumak gibi çok önemli bir görevi bulunmaktadır. AT&T’nin bu ihlale yol açtığı iddia edilen güvenlik açığını bildiğini, ancak harekete geçmeyerek bunun gerçekleşmesine izin verdiğini iddia ediyoruz. Ayrıca AT&T’nin bu yılın 30 Mart’ına kadar ihlalin gerçekleştiğini kabul etmeyerek sorunu daha da kötüleştirdiğini ve müşterilerin kişisel verilerinin iki buçuk yıldan fazla bir süre boyunca haberleri olmadan suçluların elinde kalmasına izin verdiğini iddia ediyoruz,” diyor.
Firma aleyhine açılan çok sayıda davanın önümüzdeki günlerde birleştirilebileceği söylenirken, AT&T şimdilik hukuki süreç hakkında bir yorumda bulunmadı.
