信息化觀察網(wǎng)

本文來自微信公眾號(hào)“安全內(nèi)參”。

安全內(nèi)參9月19日消息，美國(guó)聯(lián)邦通信委員會(huì)（FCC）與AT&T就2023年1月發(fā)生的重大數(shù)據(jù)泄露事件達(dá)成了一項(xiàng)1300萬美元（約合人民幣9181萬元）的和解協(xié)議。該事件源自AT&T的一家第三方云服務(wù)供應(yīng)商。

供應(yīng)商未能按時(shí)刪除數(shù)據(jù)并泄露，

FCC要求甲方嚴(yán)格落實(shí)審查責(zé)任

此次數(shù)據(jù)泄露導(dǎo)致AT&T超過890萬名移動(dòng)客戶的信息被竊取。根據(jù)和解協(xié)議，一家未具名的公司，負(fù)責(zé)為AT&T提供用于營(yíng)銷、賬單處理和生成個(gè)性化視頻內(nèi)容的服務(wù)，是此次事件的罪魁禍?zhǔn)住f(xié)議中提到，AT&T為了使用這家供應(yīng)商的服務(wù)，與其共享了包括用戶數(shù)據(jù)在內(nèi)的大量客戶信息。

AT&T與該供應(yīng)商之間簽署的合同中，明確規(guī)定了對(duì)這些數(shù)據(jù)進(jìn)行保護(hù)和處理的要求。2016年至2020年間，經(jīng)過多次審查和評(píng)估，表明該供應(yīng)商遵循了數(shù)據(jù)刪除政策。

然而，在2023年1月的泄露事件中，本應(yīng)在2017年或2018年刪除的數(shù)據(jù)被盜。FCC最終認(rèn)定，AT&T對(duì)這一失誤負(fù)有不可推卸的最終責(zé)任。

9月17日，在華盛頓召開的全球年度數(shù)據(jù)隱私會(huì)議上，F(xiàn)CC執(zhí)法局局長(zhǎng)Loyaan Egal指出，這份和解協(xié)議提醒企業(yè)，F(xiàn)CC正對(duì)企業(yè)在供應(yīng)鏈中如何確?？蛻魯?shù)據(jù)安全給予更為嚴(yán)格的審查。

他表示：“當(dāng)我們調(diào)查美國(guó)境內(nèi)企業(yè)的數(shù)據(jù)泄露事件時(shí)，若涉及到供應(yīng)商，我們會(huì)重點(diǎn)關(guān)注這些供應(yīng)商的所在地以及他們的數(shù)據(jù)保留情況。這些供應(yīng)商是否有權(quán)保留被泄露的數(shù)據(jù)？你們能否有效追蹤這些第三方所使用的數(shù)據(jù)？”

AT&T推進(jìn)數(shù)據(jù)泄露響應(yīng)工作，

并將實(shí)施改進(jìn)計(jì)劃

根據(jù)和解協(xié)議，AT&T于2023年1月6日向該供應(yīng)商通報(bào)了數(shù)據(jù)泄露事件，并于同年2月7日通過在線報(bào)告表格向政府報(bào)告了此次事件。被盜數(shù)據(jù)包括客戶賬號(hào)中涉及的電話號(hào)碼數(shù)量、賬單余額、支付信息，以及針對(duì)約8.9萬名受影響客戶的1%的費(fèi)率計(jì)劃名稱。

除了支付1300萬美元的罰款外，AT&T還與政府達(dá)成了一項(xiàng)同意令，承諾對(duì)其在云端存儲(chǔ)和保護(hù)客戶數(shù)據(jù)的方式進(jìn)行一系列改進(jìn)。這些改進(jìn)措施包括年度合規(guī)審計(jì)，以及制定一項(xiàng)“全面的”信息安全計(jì)劃，以更好地保護(hù)敏感的客戶數(shù)據(jù)。

此外，該協(xié)議要求AT&T加強(qiáng)對(duì)其第三方供應(yīng)商生態(tài)系統(tǒng)的監(jiān)管。具體措施包括限制對(duì)敏感客戶數(shù)據(jù)的訪問權(quán)限、改進(jìn)對(duì)與供應(yīng)商共享信息的追蹤方式、嚴(yán)格執(zhí)行數(shù)據(jù)處理要求，以及加強(qiáng)對(duì)供應(yīng)商在其系統(tǒng)和網(wǎng)絡(luò)中采用的數(shù)據(jù)保護(hù)政策和措施的監(jiān)督。

在接受外媒CyberScoop采訪時(shí)，AT&T發(fā)言人Alexander Byers表示，該公司從2023年3月開始通知客戶此次數(shù)據(jù)泄露事件，且被盜的數(shù)據(jù)并不包括信用卡信息、社會(huì)安全號(hào)碼或賬戶密碼。

Byers在一份電子郵件聲明中稱：“盡管我們的系統(tǒng)并未在此次事件中遭到攻破，我們?nèi)灾指倪M(jìn)內(nèi)部客戶信息管理方式，并對(duì)供應(yīng)商的數(shù)據(jù)管理實(shí)踐實(shí)施了新的要求。”

盡管此次和解結(jié)束了FCC對(duì)2023年1月供應(yīng)商云端泄露事件的調(diào)查，但FCC仍在繼續(xù)調(diào)查另一宗規(guī)模更大的AT&T數(shù)據(jù)泄露事件。該事件于2023年7月曝光，黑客通過攻擊第三方云平臺(tái)Snowflake，竊取了幾乎所有客戶長(zhǎng)達(dá)六個(gè)月的電話和短信記錄。