T-Mobile moet zich voor de rechter verantwoorden voor het grootschalige datalek dat onlangs plaatsvond. De provider heeft twee zogeheten class-action lawsuits aan zijn broek gekregen. Het bedrijf wordt onder meer verweten dat ze onvoldoende heeft gedaan om de persoonsgegevens van klanten te beschermen tegen hackers.
Dat meldt Fox Business.
Persoonsgegevens tientallen miljoenen T-Mobile klanten gestolen
Vorige week bood een hacker klantgegevens van tientallen miljoenen Amerikaanse T-Mobile klanten aan op een hackersforum op het dark web. Naar eigen zeggen ging het om namen, adressen, IMEI-nummers, rijbewijzen en social security numbers. Voor de gehele dataset vroeg de verkoper zes bitcoin, ongerekend bijna een kwart miljoen dollar.
In een reactie tegenover Motherboard zei T-Mobile dat ze de zaak ging onderzoeken. “Wij zijn op de hoogte van beweringen op een ondergronds forum en onderzoeken momenteel de validiteit ervan. We hebben op dit moment geen aanvullende informatie te delen”, vertelde een woordvoerder van het bedrijf.
De provider beloofde om alle gedupeerden op de hoogte te brengen zodra ze ‘een vollediger en geverifieerd inzicht’ had in de omvang van het datalek. Aanvankelijk meldde T-Mobile dat de gegevens van ruim 48 miljoen klanten op straat waren beland. Later corrigeerde het telecombedrijf dit en stelde het aantal slachtoffers bij naar 54,8 miljoen. Naast NAW-gegevens waren bij bijna 8 miljoen klanten ook identiteitsgegevens buitgemaakt.
Tot slot meldde T-Mobile dat de daders ook IMEI- en IMSI-nummers hadden gestolen. De International Mobile Equipment Identity of IMEI-nummer is een nummer waarmee de identiteit van een smartphone kan worden vastgesteld. Bij aangifte van diefstal vraagt de politie naar dit nummer. Het International Mobile Subscriber Identity of IMSI-nummer is een identificatienummer waarmee providers specifieke netwerkgebruikers kunnen herkennen.
Twee massaclaims ingediend tegen T-Mobile
Het verhaal krijgt echter een juridisch staartje. Fox Business meldt dat er twee class-action lawsuits tegen T-Mobile zijn ingediend. In de eerste rechtszaak draait het om de risico’s die gedupeerden lopen doordat hun gegevens nu op straat liggen. In de aanklacht stelt de eiser dat oplichters op allerlei manieren misbruik kunnen maken. Fraudeurs kunnen onder meer uitkeringen aanvragen, leningen afsluiten, rijbewijzen verlengen met valse gegevens en frauderen met de inkomstenbelasting. Slachtoffers lopen ‘aanzienlijke risico’s’, omdat T-Mobile nalatig was om deze gegevens te beschermen.
De tweede massaclaim beweert dat gedupeerden inmiddels ruim duizend uur zijn bezig geweest om de privacyrisico’s van het datalek het hoofd te bieden. Slachtoffers hebben deze tijd besteed aan het controleren van afschriften op onverklaarbare betalingstransacties en aankopen en andere verdachte activiteiten.
“T-Mobile wist dat zijn systemen kwetsbaar waren voor aanvallen. Toch slaagde het er niet in redelijke beveiligingsprocedures en -praktijken in te voeren en te handhaven die pasten bij de aard van de informatie om de persoonsgegevens van zijn klanten te beschermen. Daardoor lopen miljoenen klanten opnieuw een groot risico op oplichting en identiteitsdiefstal. Klanten verwachtten en verdienden beter van de op-één-na grootste provider van het land”, zo staat er in de aanklacht.
Dit zijn de eisen van de aanklagers
De eisers willen dat de rechtbank een schadevergoeding toekent aan de slachtoffers, inclusief een vergoeding voor de tijd die ze erin hebben gestoken om de gevolgen van het datalek te voorkomen. Daarnaast eisen ze dat de rechter maatregelen treft tegen het telecombedrijf. T-Mobile moet de beveiliging van haar systemen opschroeven, jaarlijks audits uitvoeren om de systemen te controleren en persoonsgegevens niet langer opslaan in de cloud.
T-Mobile heeft niet gereageerd op de eisen van de aanklagers.
Update (25 juli 2022): T-Mobile wil een schikking treffen om een einde te maken aan de slepende rechtszaak. Het telecombedrijf is bereid om 350 miljoen dollar neer te leggen. Bovenop dat bedrag reserveert de provider 150 miljoen dollar om de informatiebeveiliging te verbeteren en gerelateerde technologie aan te schaffen.
De rechtbank van Missouri moet de schikking nog goedkeuren. Naar verwachting gebeurt dat in december 2022.
