Verizon Communications a accepté de payer un règlement de 16 000 000 $ à la Federal Communications Commission (FCC) aux États-Unis concernant trois incidents de violation de données survenus dans sa filiale à 100 %, TracFone Wireless, après son acquisition en 2021.

TracFone est un fournisseur de services de télécommunications offrant des services via Total by Verizon Wireless, Straight Talk et Walmart Family Mobile, entre autres.

Outre la lourde sanction civile, la accord de règlement annoncé exige que l'entreprise de communication mette en œuvre des mesures spécifiques pour accroître le niveau de sécurité des données de ses clients à l'avenir.

Plusieurs violations de données

Des violations de données chez TracFone se sont produites entre 2021 et 2023, impliquant trois incidents distincts.

Le premier incident, appelé « Cross-Brand », a été auto-déclaré par TracFone le 14 janvier 2022. L'entreprise l'a découvert en décembre 2021, mais l'enquête a montré que les acteurs de la menace avaient accès aux données des clients depuis janvier 2021.

Avec l'accès à des informations sensibles, notamment des informations personnelles identifiables (PII) et des informations sur le réseau propriétaire du client (CPNI), les acteurs de la menace ont procédé à un grand nombre d'approbations de demandes de portage de numéros non autorisées.

« Dans le cadre de cet incident, des acteurs malveillants ont exploité certaines vulnérabilités liées à l'authentification et à un nombre limité d'API », peut-on lire dans le décret.

« En exploitant ces vulnérabilités, les acteurs malveillants ont pu obtenir un accès non autorisé à certaines informations clients. »

Les deux autres incidents de violation de données concernent les sites Web de commande de TracFone, signalés respectivement le 20 décembre 2022 et le 13 janvier 2023.

Dans les deux cas, des acteurs malveillants non authentifiés ont exploité une vulnérabilité pour accéder aux informations de commande, y compris certaines données CPNI et autres données clients.

« Les acteurs de la menace ont utilisé deux méthodes différentes pour exploiter la vulnérabilité (en passant à une deuxième méthode lorsque TracFone a réussi à bloquer la première) », explique le document de décret de la FCC.

« TracFone a finalement mis en œuvre un correctif à long terme pour la vulnérabilité sous-jacente d'ici février 2023. »

Le nombre de personnes exposées et les incidents d'échange de cartes SIM ont été censurés dans la version publique de l'application. Document de décret de consentement.

L'accord de règlement stipule que TrackFone devra désormais mettre en œuvre les mesures suivantes d'ici le 28 février 2025 :

• Développez un programme de sécurité des informations obligatoire pour réduire les vulnérabilités des API en adhérant à des normes telles que NIST et OWASP, en mettant en œuvre des contrôles API sécurisés et en testant et en mettant à jour régulièrement les mesures de sécurité.
• Mettre en œuvre des protections contre les changements de carte SIM et les transferts de carte SIM impliquant une authentification sécurisée pour les changements de carte SIM et les demandes de transfert de carte SIM, en informant les clients de ces demandes et en proposant des codes PIN de transfert de numéro.
• Effectuer des évaluations annuelles de la sécurité de l’information pour garantir l’efficacité du programme, avec des évaluations indépendantes par des tiers tous les deux ans pour évaluer la suffisance et la maturité.
• Organisez une formation annuelle de sensibilisation des employés à la confidentialité et à la sécurité afin d'améliorer leur capacité à protéger les données des clients et à se conformer aux protocoles de sécurité.

BleepingComputer a contacté Verizon et TracFone pour demander combien de clients ont été touchés, mais nous n'avons pas reçu de réponse.