Washington processa a T-Mobile por falhas em segurança cibernética
O estado de Washington está movendo um processo contra a T-Mobile, alegando que a operadora não conseguiu resolver vulnerabilidades de segurança que permitiram a um hacker expor dados pessoais de 79 milhões de pessoas em todo o país. A ação judicial de proteção ao consumidor, apresentada pelo procurador geral do estado, Bob Ferguson, na segunda-feira, resulta de um ciberataque que começou em março de 2021 e passou desapercebido até que a T-Mobile revelou a violação em agosto do mesmo ano.
O documento afirma que a T-Mobile ignorou certas falhas de segurança das quais a empresa tinha conhecimento “há anos” e não notificou adequadamente mais de dois milhões de residentes de Washington afetados pela violação. O processo acusa a T-Mobile de minimizar a gravidade do incidente, que expôs informações pessoais de clientes atuais, antigos e potenciais — incluindo nomes, números de telefone, endereços físicos, datas de nascimento, números de seguridade social e números de carteira de motorista ou identidade.
Notificações inadequadas e resposta à violação
O processo menciona que as notificações emitidas pela T-Mobile a respeito da violação de dados violaram a Lei de Proteção ao Consumidor, pois deixaram de incluir informações essenciais que tornaram difícil para as pessoas avaliarem se estavam em risco de roubo de identidade ou fraude. Além disso, a ação judicial alega que a T-Mobile “não atendeu aos padrões da indústria em termos de segurança cibernética” durante anos antes do ataque e utilizou “senhas óbvias” para proteger contas que podiam acessar informações dos consumidores.
“Essa significativa violação de dados era totalmente evitável,” afirmou Ferguson em um comunicado. “A T-Mobile teve anos para corrigir falhas chave em seus sistemas de segurança cibernética — e falhou.”
Ações anteriores e busca por compensações
Esta não é a primeira vez que o estado de Washington toma medidas contra a T-Mobile. Em 2013, Ferguson convenceu a empresa a esclarecer as limitações de seu plano de serviço sem contrato. O novo processo busca compensações para clientes afetados pela violação de 2021 e um mandado judicial que force a T-Mobile a alinhar suas práticas de segurança cibernética com os padrões da indústria, além de melhorar a transparência e a comunicação em futuras violações de dados.
Este processo surge após a T-Mobile ter pago 350 milhões de dólares em 2022 para resolver uma ação coletiva decorrente do ataque de 2021 e uma multa adicional de 15,75 milhões de dólares no ano passado, devido a uma investigação da FCC sobre suas incidentes de segurança cibernética repetidos.
Reflexão Final
A situação traz à tona questões importantes sobre a responsabilidade das empresas em proteger os dados dos consumidores. Espera-se que a T-Mobile reavalie suas práticas de segurança para evitar novos incidentes. Afinal, em tempos de tantas violações de dados, a segurança da informação nunca foi tão crítica.
