חברת Verizon Communications הסכימה לשלם 16,000,000 דולר בפשרה שהושגה עם ועדת התקשורת הפדרלית (FCC) בארה"ב, בנוגע לשלוש תקריות דלף מידע בחברה הבת שבבעלותה המלאה – TracFone Wireless, שנגרם לאחר רכישתה ב- 2021. חברת TracFone היא ספקית שירותי טלקומוניקציה המציעה שירותים דרך Total by Verizon Wireless, Straight Talk ו- Walmart Family Mobile. מלבד העונש האזרחי הכבד, מחייב הסכם הפשרה את חברת התקשורת ליישם צעדים ספציפיים להגברת רמת אבטחת המידע עבור לקוחותיה.
שלוש תקריות נפרדות של דלף מידע ב- TracFone התרחשו בין 2021 ל- 2023: דלף המידע הראשון המכונה 'אירוע חוצה מותג', דווח על ידי TracFone ב- 14 בינואר 2022. החברה גילתה אותו כבר בדצמבר 2021, אך החקירה הראתה שלפושעי הסייבר הייתה גישה לנתוני לקוחות רק מאז ינואר 2021. באמצעות גישה למידע רגיש הכולל מידע אישי מזהה ומידע רשת קנייני של לקוחות, ביצעו פושעי הסייבר מספר גבוה של העברות מספרי טלפון. בצו יישום הצעדים להגברת רמת אבטחת המידע נכתב: "בקשר לאירוע הזה, ניצלו גורמי פושעי סייבר נקודות תורפה מסוימות הקשורות לאימות ונקודות תורפה במספר ממשקי API. על ידי ניצול נקודות התורפה הללו, הצליחו פושעי הסייבר להשיג גישה בלתי מורשית למידע לקוחות."
שתי תקריות דלף המידע האחרות נוגעות לאתרי ההזמנות של TracFone, שדווחו ב- 20 בדצמבר 2022 וב- 13 בינואר 2023. בשני המקרים הללו ניצלו פושעי סייבר פגיעות כדי לגשת למידע על הזמנות, כולל מידע רשת קנייני של לקוחות ונתונים אחרים של לקוחות. "פושעי הסייבר השתמשו בשתי שיטות שונות כדי לנצל את הפגיעות (מעבר לשיטה שנייה כאשר TracFone חסמה בהצלחה את הראשונה)," מסביר הצו של ה- FCC ומציין גם כי "TracFone הטמיעה בסופו של דבר תיקון לטווח ארוך לפגיעות הבסיסית, עד פברואר 2023." מספר האנשים שנחשפו ואירועי החלפת SIM צונזרו בגרסה הפומבית של מסמך צו ההסכמה.
הסכם הפשרה קובע כי TrackFone תצטרך ליישם את הצעדים הבאים עד ה-28 בפברואר 2025: יישום תוכנית אבטחת מידע מחייבת להפחתת פגיעויות API על ידי עמידה בסטנדרטים כמו NIST ו- OWASP, הטמעת בקרות API מאובטחות ובדיקה ועדכון קבוע של אמצעי אבטחה; הטמעת הגנות החלפת SIM ויציאות הכוללות אימות מאובטח לשינויי SIM ובקשות יציאה, יידוע לקוחות אודות בקשות כאלו והצעת מספרי PIN להעברת מספרים; ביצוע הערכות שנתיות לאבטחת מידע כדי להבטיח את יעילות התוכנית, יחד עם הערכות צד שלישי בלתי תלויות כל שנתיים כדי להעריך את התוצאות; ביצוע הכשרה שנתית בנושא פרטיות ומודעות לאבטחה של העובדים כדי לשפר את יכולתם להגן על נתוני לקוחות ולציית לפרוטוקולי אבטחה.
