.
A Experian e a T-Mobile US chegaram a acordos separados com 40 estados americanos após duas violações de segurança de dados em 2012 e 2015. O acordo renderá às autoridades US$ 16 milhões, além de garantias de que não acontecerá novamente.
A Experian arcará com o maior peso da multa, com US$ 14 milhões provenientes da empresa de relatórios de crédito.
Liderados por procuradores-gerais de Massachusetts e Illinois, os assentamentos decorrem de um par de violações de dados na Experian em 2012 e 2015, o último dos quais T-Mo foi pego em.
o violação de 2012 at Experian foram revelados após uma notificação ao Serviço Secreto dos EUA. A Experian comprou uma empresa chamada Court Ventures, Inc., e todos os seus clientes, um dos quais era um ladrão de identidade. Desde então, esse bandido se declarou culpado de fraude eletrônica, fraude de identidade e outros crimes, incluindo se apresentar falsamente como investigador particular para obter acesso aos sistemas da Experian.
Todos os dados coletados por esse único intruso foram entregues a outras partes nefastas, que fizeram mais de 3 milhões de consultas de informações pessoais contra dados de propriedade da CVI e da Experian.
A Experian não notificou os consumidores afetados ou as autoridades estaduais sobre o incidente.
Dentro 2015, a empresa de relatórios de crédito ao consumidor foi atingida novamente. Desta vez, o invasor conseguiu acessar uma parte da rede da Experian onde a T-Mobile US armazenava dados usados para processar aplicativos de clientes. Como um resultado desse ataqueos dados de 15 milhões de pessoas – incluindo números de CPF, outros números de identificação, nome, endereço e data de nascimento – foram roubados.
A T-Mo e a Experian notificaram os clientes desse ataque, e a Experian ofereceu serviços gratuitos de relatórios de crédito, como geralmente é o caso quando uma grande empresa tem esse volume de informações de identificação pessoal roubadas.
Pulso, encontro tapa
Além de penalidades financeiras surpreendentemente pequenas, a Experian está sendo forçada a fornecer mais cinco anos gratuitos de monitoramento de crédito além dos dois anos concedidos anteriormente após a violação de 2015, bem como dois relatórios de crédito gratuitos anualmente.
Além disso, o acordo da agência de crédito incluiu requisitos para manter um plano de notificação de violação de dados e resposta a incidentes, desenvolver um programa de prevenção de roubo de identidade e fazer a devida diligência na verificação de pessoas com acesso a dados, incluindo reavaliar o acesso após uma aquisição.
A Experian também foi instruída a não “deturpar para seus clientes até que ponto [it] protege a privacidade e a segurança das informações pessoais.”
Enquanto isso, a T-Mobile US foi instruída a melhorar sua supervisão de gerenciamento de fornecedores e desenvolver um programa de conformidade que garanta que terceiros com acesso às PII do cliente as estejam armazenando adequadamente.
Não está claro se uma das empresas aprendeu com essas violações, especialmente à luz dos incidentes subsequentes em ambas as empresas.
Em 2020, a Experian informou que entregou dados, incluindo PII para 24 milhões de sul-africanos a outro indivíduo que se representa falsamente para obter acesso. Apesar das garantias de que os dados foram recuperados e destruídos, mais tarde apareceu online.
No ano passado, a T-Mobile US foi atacada novamente e 77 milhões de registros de clientes foi roubado. A T-Mobile pagou US$ 550 milhões para resolver esse caso. Surpreendentemente, é T-Mo quinta violação reconhecida em quatro anos.
Para colocar sua última multa de US$ 2,43 milhões em perspectiva, a Un-Carrier informou um lucro líquido de US$ 508 milhões no terceiro trimestre deste ano. Experian, enfrentando US$ 13,67 milhões em multas, US$ 6,2 bilhões no ano fiscal 22 [PDF].
“Tenho o prazer de me juntar aos meus colegas hoje para responsabilizar essas empresas por suas falhas em proteger as informações confidenciais de nossos residentes”, disse a Massachusetts AG Maura Healey. ®
.
