T-Mobile poinformował o ugodzie sądowej, w efekcie której zapłaci 350 mln dol. klientom dotkniętym gigantycznym wyciekiem danych na skutek cyberataku. Firma zobowiązała się przed SEC do zainwestowania w systemy bezpieczeństwa w USA następnych 150 mln dol.
W zgłoszeniu do amerykańskiej Komisji Papierów Wartościowych i Giełd (Security Exchange Commission, SEC) T-Mobile stwierdził, że 350 mln dol. z ugody pokryje roszczenia członków grupy pozywającej, opłaty prawne doradców powoda oraz koszty administrowania ugodą. Zobowiązał się także do zainwestowania w latach 2022-23 ponad 150 mln dol. w rozwój zaawansowanych systemów bezpieczeństwa oraz wprowadzenie nowych technologii utrudniających cyberatak. Ugoda nie obejmuje przyznania się do odpowiedzialności, wykroczenia lub odpowiedzialności żadnego z pozwanych.
Spółka liczy, że sąd zatwierdzi warunki ugody już w grudniu 2022 r., oczekuje też w II kw. Sprawozdawczym obecnego roku obciążeń przed opodatkowaniem w wysokości około 400 mln dol. T-Mobile z siedzibą w Bellevue w stanie Waszyngton, wraz z AT&T i Verizon, stał się jednym z największych operatorów telefonii komórkowej w kraju, po przejęciu konkurencyjnego Sprinta w 2020 r.
Atak na T-Mobile w USA nastąpił w sierpniu 2021 r. Hackerzy zdołali się włamać do serwerów wewnętrznych operatora i pozyskać z nich dane nie tylko aktywnych klientów sieci, ale i klientów byłych, a nawet tych którzy złożyli wnioski o kredytowany zakup urządzeń. Wyciekły dane personalne: imiona i nazwiska klientów, ich daty urodzenia, adresy, ale także numery ubezpieczeń oraz informacje dotyczące prawa jazdy lub innego dokumentu powiązanego z klientem. W przypadku klientów pre-paid ujawniono także kody PIN.
Co prawda T-Mobile zapewniał, iż nie zostały ujawnione dane finansowe klientów, tj. numery kart kredytowych czy debetowych, ale media publikowały informacje zaznaczające by „na wszelki wypadek” zablokować karty lub ostatecznie zmienić do nich PIN-y. Na początku szacowano, że atakiem dotkniętych zostało 100 mln osób, po 2 tygodniach T-Mobile stwierdził iż było to 49 mln, ale po dochodzeniu okazało się, że było to aż 76,6 mln klientów.
Po ataku na DarkNet wystawiono oferty sprzedaży skradzionych danych. Pierwotna oferta opiewała na 6 bitcoinów o ówczesnej wartości 270 tys. dol. za jedną paczkę zawierającą 30 mln rekordów.
