【安全资讯】AT&T因2023年数据泄露事件支付1300万美元FCC和解金

概要：

AT&T同意支付1300万美元，以解决联邦通信委员会（FCC）对其是否充分保护客户数据的调查。此次调查源于2023年1月黑客入侵AT&T供应商的云环境，窃取大量客户信息的事件。FCC认为AT&T未能有效阻止攻击并保护客户数据。

主要内容：

此次数据泄露事件发生在2023年1月，当时黑客成功入侵了AT&T供应商的云环境，窃取了大量客户信息。FCC对此展开调查，重点关注AT&T是否采取了足够的措施来阻止此次攻击，并在更广泛的层面上保护客户数据。AT&T同意支付1300万美元的和解金，并签署了一项同意令，要求公司加强数据治理实践、提高供应链完整性，并确保处理敏感数据的程序到位。

根据同意令，AT&T必须创建一个数据清单程序，跟踪客户数据，实施更多的供应商控制或监督，建立信息安全计划，进行年度合规审计，并要求供应商遵守数据保留和销毁义务。FCC主席Jessica Rosenworcel强调，通信法规定运营商有责任保护消费者数据的隐私和安全，这在数字时代的数据泄露事件中尤为重要。

此外，FCC执法局局长Loyaan Egal补充说，服务提供商有责任减少威胁行为者试图利用的攻击面和入口点，以访问敏感的客户数据。AT&T的供应商负责为公司客户创建和托管个性化视频内容，包括账单和营销视频。根据合同，供应商应销毁或返还任何提供给他们的客户信息，但AT&T未能验证这一点是否完成。

FCC指出，鉴于AT&T的规模，公司将不得不花费更多资金来遵守同意令，而不仅仅是支付民事罚款。FCC将继续监督AT&T是否按照同意令和通信法的要求进行必要的数据保护实践改进。