Verizonהחברה הבת TracFone Wireless הסכימה לכתוב צ'ק של 16 מיליון דולרלכסות עונש אזרחיזֶההוטל עליו על ידי ה-FCC. החברה הואשמה בעונש בעקבות חקירה של שלוש פרצות מידע נפרדות שהתרחשו בין ינואר 2021 לינואר 2023. הראשונה התגלתה בדצמבר 2021 והביאה לניסיונות רבים של התוקפים להעביר מספרי טלפון של לקוחות לספקים אחרים ללא אישור מהמנויים שמספרי הטלפון שלהם היו מעורבים.
מתקפה זו ידועה כהונאת יציאות, כאשר פושעים, תוך שימוש במידע אישי גנוב, מרמים את חברת האלחוט, במקרה זה TracFone, להאמין שלקוח הגיש בקשה לגיטימית להעביר את החשבון שלו לחשבון אחר שיש לו עם מוביל שונה. במקום זאת, השירות האלחוטי של הלקוח מועבר לחשבון בבעלות התוקף ולאחר מכן משתלט על הטלפון והאפליקציות המותקנות על ידי יירוט שיחות טלפון, הודעות SMS וקודי אימות דו-גורמי. זה מאפשר לתוקף גישה לחשבונות הבנק, ניירות הערך, כרטיסי האשראי וחשבונות הקריפטו של הקורבן, ומרוקנת את כל הכספים הזמינים בשניות.
הונאה ביציאה דומה להחלפת SIM. המתקפה האחרונה כוללת את הפושע שמבקש ומקבל כרטיס סים המחובר לחשבון של מנוי על ידי התחזות ללקוח קמל ברשת או באמצעות שיחת טלפון עם חברת הסלולר. ברגע שכרטיס הסים החדש נשלח לכתובת שמסר הגנב לספק, הסים המבוקש מונח בטלפון של התוקף ומאפשר לו לחטוף את חשבון הלקוח. בדומה להונאת יציאה, הגנב מיירט שיחות טלפון, הודעות SMS וקודי אימות דו-גורמי המאפשרים לו לגשת ולנקז את חשבונות הבנק, ניירות הערך, כרטיסי האשראי וחשבונות הקריפטו של הקורבן.
Verizon קנתה את TracFone בנובמבר 2021. | קרדיט תמונה-PhoneArena
אתר ההזמנות של TracFone היה מעורב בשני תקריות נוספות שהתרחשו בדצמבר 2022 ובינואר 2023. בשתי הפעמים התוקפים הצליחו לגשת למידע על ההזמנה מבלי לעבור אימות. השחקנים הרעים הצליחו לנצל פגיעות מקוונת שלא תוקנה עד פברואר 2023. ה-FCC האשים את TracFone באי אבטחה סבירה של המידע האישי השייך ללקוחותיה, דבר המהווה הפרה. ספקים אלחוטיים צפויים להשתמש בכל אמצעי זהירות סבירים כדי להגן על המידע האישי של לקוחותיהם.
סעיף 222 לחוק התקשורת אומר כי אי אבטחת המידע הקנייני של הלקוחות באופן סביר מפר את חובת הספק. היא גם מהווה נוהג בלתי צודק ובלתי סביר בניגוד לסעיף 201 לחוק. בנוסף לתשלום הקנס האזרחי בסך 16 מיליון דולר, במסגרת צו ההסכמה, TracFone הסכימה להשיק תוכנית אבטחת מידע להפחתת פגיעויות API. צמצום הפגמים הללו אמור להקשות על התוקפים למצוא פגיעות לניצול.
ה-FCC גם נתן ל-TracFone להסכים לשפר את ההגנה שלה מפני התקפות לקוחות חמורות באמצעות החלפת ה-SIM הנ"ל והונאת יציאה. החברה גם תכשיר את העובדים בענייני פרטיות ואבטחה.
הנציבות גם אימצה כללים המחייבים ספקים לנקוט באמצעים סבירים כדי לגלות, לדווח ולהגן מפני ניסיונות לגשת ל-CPNI (מידע רשת קנייני של לקוחות או נתוני מנויים שהושגו על ידי חברות טלקום) ללא אישור."-FCC
TracFone, חברה בת בבעלות מלאה שלVerizonWireless, מחזיקה במותגים כמו Straight Talk, Total byVerizonאלחוטי, ו-Walmart Family Mobile.Verizonרכשה את TracFone תמורת יותר מ-6 מיליארד דולר במזומן ובמניות עם העסקההוכרז לראשונה בספטמבר 2020. העסקה נסגרה בנובמבר 2021.
