Verizon Communications telah setuju untuk membayar penyelesaian sebesar $16.000.000 dengan Komisi Komunikasi Federal (FCC) di AS terkait tiga insiden pelanggaran data di anak perusahaannya yang sepenuhnya dimiliki, TracFone Wireless, yang diderita setelah akuisisi pada tahun 2021.
TracFone adalah penyedia layanan telekomunikasi yang menawarkan layanan melalui Total by Verizon Wireless, Straight Talk, dan Walmart Family Mobile, antara lain.
Selain hukuman perdata yang berat, mengumumkan perjanjian penyelesaian mengharuskan perusahaan komunikasi untuk menerapkan langkah-langkah khusus untuk meningkatkan tingkat keamanan data bagi pelanggannya di masa mendatang.
Banyak pelanggaran data
Pelanggaran data di TracFone terjadi antara tahun 2021 dan 2023, yang melibatkan tiga insiden terpisah.
Yang pertama, disebut sebagai insiden ‘Cross-Brand’, dilaporkan sendiri oleh TracFone pada tanggal 14 Januari 2022. Perusahaan menemukannya pada bulan Desember 2021, tetapi penyelidikan menunjukkan bahwa pelaku ancaman telah memiliki akses ke data pelanggan sejak Januari 2021.
Dengan akses ke informasi sensitif, termasuk informasi identitas pribadi (PII) dan informasi jaringan milik pelanggan (CPNI), pelaku ancaman melakukan sejumlah besar persetujuan permintaan porting nomor yang tidak sah.
“Sehubungan dengan insiden ini, pelaku ancaman mengeksploitasi kerentanan tertentu yang terkait dengan autentikasi dan sejumlah kecil API,” demikian bunyi keputusan tersebut.
“Dengan mengeksploitasi kerentanan tersebut, pelaku ancaman dapat memperoleh akses tidak sah ke informasi pelanggan tertentu.”
Dua insiden pelanggaran data lainnya menyangkut situs web pesanan TracFone, yang dilaporkan masing-masing pada tanggal 20 Desember 2022 dan 13 Januari 2023.
Dalam kedua kasus tersebut, pelaku ancaman yang tidak diautentikasi mengeksploitasi kerentanan untuk mengakses informasi pesanan, termasuk CPNI tertentu dan data pelanggan lainnya.
“Pelaku ancaman menggunakan dua metode berbeda untuk mengeksploitasi kerentanan (beralih ke metode kedua saat TracFone berhasil memblokir yang pertama),” jelas dokumen keputusan FCC.
“TracFone akhirnya menerapkan perbaikan jangka panjang untuk kerentanan yang mendasarinya pada Februari 2023.”
Jumlah individu yang terpapar dan insiden pertukaran SIM telah disensor dalam versi publik Dokumen Persetujuan.
Perjanjian penyelesaian mengamanatkan bahwa TrackFone sekarang harus menerapkan langkah-langkah berikut paling lambat tanggal 28 Februari 2025:
- Mengembangkan program keamanan informasi yang diamanatkan untuk mengurangi kerentanan API dengan mematuhi standar seperti NIST dan OWASP, menerapkan kontrol API yang aman, dan secara berkala menguji dan memperbarui langkah-langkah keamanan.
- Terapkan perlindungan perubahan SIM dan port-out yang melibatkan autentikasi aman untuk perubahan SIM dan permintaan port-out, beri tahu pelanggan tentang permintaan tersebut, dan tawarkan PIN transfer nomor.
- Lakukan penilaian tahunan keamanan informasi untuk memastikan efektivitas program, dengan evaluasi pihak ketiga yang independen setiap dua tahun untuk menilai kecukupan dan kematangan.
- Menyelenggarakan pelatihan tahunan mengenai kesadaran privasi dan keamanan karyawan guna meningkatkan kemampuan mereka dalam melindungi data pelanggan dan mematuhi protokol keamanan.
BleepingComputer telah menghubungi Verizon dan TracFone untuk menanyakan berapa banyak pelanggan yang terkena dampak, tetapi kami belum menerima jawaban.
