T-Mobile heeft in de VS een schikking getroffen met de slachtoffers van een datalek medio 2021. Het telecombedrijf is bereid om een bedrag van 350 miljoen dollar te betalen om een einde te maken aan het juridische gevecht. Daarnaast reserveert T-Mobile dit en volgend jaar een bedrag van 150 miljoen dollar om de informatiebeveiliging te verbeteren. De rechtbank moet de schikking nog officieel goedkeuren.
Dat blijkt uit documenten van de rechtbank van Missouri (PDF).
Hacker steelt persoonsgegevens van tientallen miljoenen (voormalig) klanten
In augustus 2021 slaagde een hacker erin om het bedrijfsnetwerk van T-Mobile te infiltreren. Op deze manier wist hij namen, adressen, IMEI-nummers, rijbewijzen en social security numbers buit te maken. Deze persoonlijke data bood hij aan op een hackersforum op het dark web. Voor de gehele dataset vroeg hij een bedrag van 6 bitcoin, wat destijds een waarde had van bijna een kwart miljoen dollar.
Aanvankelijk zei T-Mobile dat het om privégegevens van 6 miljoen klanten en voormalige klanten ging. Later corrigeerde het telecombedrijf dit en stelde het aantal slachtoffers bij naar 54,8 miljoen. Naast NAW-gegevens waren bij bijna 8 miljoen klanten ook identiteitsgegevens buitgemaakt.
Uit onderzoek bleek dat de hacker via een brute force attack de interne systemen wist binnen te dringen. Mike Sievert, de CEO van T-Mobile, trok het boetekleed aan en ging diep door het stof. “Aanvallen zoals deze nemen toe en hackers zoeken dag in dag uit naar nieuwe manieren om onze systemen aan te vallen en uit te buiten. We investeren veel tijd en energie om ze een stap voor te blijven, maar we hebben niet voldaan aan de verwachtingen die we van onszelf hebben om onze klanten te beschermen. Weten dat we er niet in geslaagd zijn deze blootstelling te voorkomen, is een van de moeilijkste delen van deze gebeurtenis”, zo zei de topman destijds.
De hacker die verantwoordelijk was voor het datalek zei tegenover The Wall Street Journal dat de beveiliging van T-Mobile “verschrikkelijk slecht” was. Via een onbeveiligde router die met internet was verbonden wist hij het bedrijfsnetwerk binnen te dringen.
Twee massaclaims ingediend tegen T-Mobile
Het voorval leidde ertoe dat er twee massaclaims tegen T-Mobile werden ingediend. In de eerste rechtszaak draaide het om de risico’s die gedupeerden liepen doordat hun gegevens op straat waren beland. In de aanklacht stelde de eiser dat oplichters op allerlei manieren misbruik konden maken van de buitgemaakte persoonsgegevens, bijvoorbeeld door te frauderen met de inkomstenbelasting. Door nalatigheid van T-Mobile liepen slachtoffers “aanzienlijke risico’s”.
De tweede massaclaim beweerde dat gedupeerden ruim duizend uur bezig waren geweest om zichzelf te beschermen voor eventuele privacyrisico’s van het datalek. Slachtoffers hadden deze tijd onder meer besteed aan het controleren van afschriften op onverklaarbare betalingstransacties, onverklaarbare aankopen en andere verdachte activiteiten.
“T-Mobile wist dat zijn systemen kwetsbaar waren voor aanvallen. Toch slaagde het er niet in redelijke beveiligingsprocedures en -praktijken in te voeren en te handhaven die pasten bij de aard van de informatie om de persoonsgegevens van zijn klanten te beschermen. Daardoor lopen miljoenen klanten opnieuw een groot risico op oplichting en identiteitsdiefstal. Klanten verwachtten en verdienden beter van de op-één-na grootste provider van het land”, zo stond er in de aanklacht.
T-Mobile bereid honderden miljoenen te betalen
Inmiddels zijn we bijna een jaar verder en wil T-Mobile de handdoek in de ring gooien. Het telecombedrijf is bereid om een bedrag van 350 miljoen dollar op tafel te leggen. Dat geld moet verdeeld worden onder de deelnemers van de massaclaim. Een deel van het bedrag is bedoeld om de juridische kosten van de eisers te compenseren.
Daarnaast hoest T-Mobile een bedrag van 150 miljoen dollar op om de informatiebeveiliging op te schroeven en gerelateerde technologie aan te schaffen. De helft daarvan wordt dit jaar betaald, de andere helft in 2023. T-Mobile verwacht dat ze met de schikking wordt vrijgesteld van alle claims. De schikking bevat geen erkenning van aansprakelijkheid, wangedrag of verantwoordelijkheid door een van de eisers.
De rechtbank van Missouri moet de schikking nog goedkeuren. Naar verwachting gebeurt dat in december 2022, maar kan eventueel vertraagd worden door juridische procedures. T-Mobile behoudt het recht om de schikking te beëindigen.
