În ultimii ani, pe măsură ce telecomunicațiile au evoluat, gestionarea datelor a ajuns în atenția publică și a legiuitorilor; acest dosar îl are în prim-plan pe gigantul american Comcast, o anchetă a Federal Communications Commission din SUA și o breșă de date la un furnizor extern în februarie 2024. Comcast va plăti 1, 5 milioane de dolari pentru a închide investigația FCC privind un incident în care au fost expuse datele personale a aproape 275.000 de clienți Xfinity, iar discuția se referă la responsabilitatea marilor companii față de partenerii lor.
Atacul a vizat sistemele Financial Business and Consumer Solutions (FBCS) în perioada 14–26 februarie 2024. Comcast afirmă că își întrerupsese colaborarea cu acest colector de creanțe cu doi ani mai devreme, însă situația a escaladat când FBCS a comunicat ulterior că datele a milioane de persoane fuseseră compromise. Inițial s-a estimat un impact de 1, 9 milioane de persoane, cifra fiind apoi ajustată la 3, 2 milioane în iunie și la 4, 2 milioane în iulie; pentru clienții Comcast, impactul confirmat a fost de 273.703 persoane. Comcast a fost notificată pe 15 iulie, la aproximativ cinci luni după atac, deși în martie aceeași firmă susținuse că clienții Comcast nu sunt afectați.
Datele sustrase între 14 și 26 februarie includ nume, adrese, numere de securitate socială, date de naștere și numere de cont Comcast. Conturile vizate erau asociate serviciilor Xfinity: internet, televiziune, streaming, VoIP și securitate pentru locuință. Situația a fost complicată de faptul că FBCS a intrat în procedură de faliment înainte ca publicul să fie informat, iar dezvăluirea oficială a breșei a avut loc abia în august 2024.
Potrivit acordului aprobat de FCC, Comcast s-a angajat să implementeze un program de conformitate axat pe supravegherea furnizorilor. Compania trebuie să se asigure că partenerii șterg corect informațiile clienților pe care nu le mai păstrează, în conformitate cu Cable Communications Policy Act din 1984. În plus, Comcast trebuie să numească un responsabil cu conformitatea, să efectueze evaluări de risc ale furnizorilor care prelucrează datele clienților la fiecare doi ani, să trimită rapoarte de conformitate către FCC la fiecare șase luni timp de trei ani și să raporteze orice breșă semnificativă în termen de 30 de zile de la descoperire.
Comcast a declarat pentru Reuters că nu își asumă vinovăția pentru incident și că rețeaua sa nu a fost compromisă, subliniind că FBCS avea obligații contractuale în materie de securitate. Când a fost contactată de BleepingComputer, compania nu a avut imediat un purtător de cuvânt disponibil pentru comentarii suplimentare. Pentru context, Comcast este o corporație americană din mass-media, telecomunicații și divertisment, plasată a patra la nivel global după venituri, după AT&T, Verizon și China Mobile, cu peste 182.000 de angajați, sute de milioane de clienți și venituri raportate de 123, 7 miliarde de dolari în 2024.
Suma de 1, 5 milioane de dolari evidențiază mecanica reglementării în acest caz. Acordul FCC pune accent pe responsabilitatea față de furnizori, evaluările bianuale de risc și rapoartele semestriale, iar întârzierea notificării, 15 iulie pentru un atac petrecut între 14 și 26 februarie, arată ce poate merge prost când relațiile contractuale și situația financiară a furnizorilor sunt problematice. Practic, victimele raportate sunt 273.703 clienți Xfinity; acest număr și tipurile de date compromise (numere de securitate socială, date de naștere, numere de cont) explică de ce regulile au devenit mai stricte.
Crezi că măsurile impuse de FCC vor fi suficiente pentru a preveni incidente similare pe viitor sau este nevoie să se regândească responsabilitățile legale ale companiilor față de furnizorii lor?
Fii primul care comentează