電信網(wǎng)絡(luò)安全仍是一個具有廣泛影響的挑戰(zhàn)。AT&T并非唯一一家經(jīng)歷大規(guī)模數(shù)據(jù)泄露并暴露客戶信息的公司。

AT&T于周二與聯(lián)邦通信委員會(FCC)達成了一項1300萬美元的和解協(xié)議，以解決該機構(gòu)對2023年1月第三方數(shù)據(jù)泄露事件的調(diào)查，此次事件導(dǎo)致890萬客戶的數(shù)據(jù)遭到泄露。

根據(jù)FCC的說法，作為和解協(xié)議的一部分，AT&T承諾加強其數(shù)據(jù)治理實踐和供應(yīng)鏈安全。AT&T被要求保護、妥善處理并限制訪問客戶專有網(wǎng)絡(luò)信息，這類信息是無線運營商為內(nèi)部使用和向第三方出售以用于營銷目的而收集的客戶賬戶數(shù)據(jù)。

“AT&T未能確保其供應(yīng)商充分保護客戶信息，”FCC執(zhí)法局局長Loyaan Egal在周二的同意令中表示?！跋喾?，這些信息在供應(yīng)商的云環(huán)境中保存了多年，而在應(yīng)該刪除或歸還AT&T后仍然存在，最終在2023年的泄露事件中曝光?！?/p>

AT&T與FCC的和解涉及一次嚴重的泄露事件，但多次的安全失誤，包括幾乎暴露所有客戶數(shù)據(jù)的第三方泄露，顯示出一種模式。

AT&T表示，目前已不再與涉及2023年1月數(shù)據(jù)泄露的第三方供應(yīng)商合作，并指出此次泄露的數(shù)據(jù)不包括信用卡信息、社會安全號碼或賬戶密碼。

“保護客戶數(shù)據(jù)仍然是我們的首要任務(wù)之一，”該公司發(fā)言人周二通過電子郵件表示。

“雖然我們的系統(tǒng)在此次事件中并未受到破壞，但我們正在加強內(nèi)部管理客戶信息的方式，并對供應(yīng)商的數(shù)據(jù)管理實踐實施新的要求，”發(fā)言人補充道。

ZK Research的創(chuàng)始人兼首席分析師Zeus Kerravala表示，AT&T同意的這些數(shù)據(jù)隱私治理改進應(yīng)該早已成為其標(biāo)準(zhǔn)流程的一部分。

Kerravala說道：“有句老話是這樣說的，‘騙我一次，怪你，騙我兩次，怪我自己?！?/p>

電信領(lǐng)域反復(fù)發(fā)生的泄露事件突顯出模式

AT&T并非唯一一家經(jīng)歷大規(guī)?？蛻魯?shù)據(jù)泄露的電信運營商。

T-Mobile在2018年至2023年間公開承認了八起數(shù)據(jù)泄露事件，其中最嚴重的一次發(fā)生在2021年8月，導(dǎo)致至少7660萬人的個人數(shù)據(jù)被曝光。

電信網(wǎng)絡(luò)運營商由于持有敏感數(shù)據(jù)并服務(wù)于龐大的客戶群，成為網(wǎng)絡(luò)犯罪分子的高價值目標(biāo)之一。AT&T在2024年第二季度實現(xiàn)了39億美元的凈收入，營收為298億美元。

2024年4月，一次針對AT&T的Snowflake環(huán)境的網(wǎng)絡(luò)攻擊，導(dǎo)致幾乎所有電信提供商的無線客戶數(shù)據(jù)遭到泄露，涉及約1.1億人。

AT&T是超過100家受到廣泛身份攻擊浪潮影響的Snowflake客戶之一，攻擊目標(biāo)是該云端數(shù)據(jù)倉庫供應(yīng)商的客戶。攻擊者在11天內(nèi)訪問了AT&T的Snowflake環(huán)境，并竊取了2022年為期六個月的客戶通話和短信記錄。

在另一起發(fā)生于3月的事件中，AT&T表示，已經(jīng)確認暗網(wǎng)泄露的數(shù)據(jù)包括約760萬現(xiàn)有客戶和約6540萬前客戶的敏感信息。

“AT&T的多次數(shù)據(jù)泄露事件應(yīng)該給客戶敲響警鐘，除非安全運營進行大規(guī)模升級，否則很可能會再次發(fā)生泄露事件，”ZK Research的Zeus Kerravala表示。

“我們依賴手機來過我們的生活。我們通過移動設(shè)備進行溝通、購物、學(xué)習(xí)、聯(lián)系和娛樂，”Kerravala說。“客戶信任AT&T來保護他們的數(shù)據(jù)，而這家電信公司讓他們失望了?！?/p>