Công ty con của Verizon là TracFone vừa bị Ủy ban Truyền thông Liên bang Mỹ (FCC) phạt 16 triệu USD sau khi điều tra 3 vụ rò rỉ dữ liệu nghiêm trọng xảy ra từ tháng 1 năm 2021 đến tháng 1 năm 2023.

Vụ việc đầu tiên được phát hiện vào tháng 12 năm 2021, cho thấy nhiều nỗ lực của tin tặc nhằm chuyển số điện thoại của khách hàng sang các nhà mạng khác mà không có sự cho phép của chủ sở hữu. Đây là một hình thức lừa đảo gọi là “port-out fraud”, trong đó tội phạm sử dụng thông tin cá nhân bị đánh cắp để lừa nhà mạng, trong trường hợp này là TracFone, tin rằng khách hàng đã yêu cầu hợp lệ chuyển tài khoản sang nhà mạng khác. Thay vào đó, dịch vụ di động của khách hàng được chuyển sang một tài khoản thuộc sở hữu của kẻ tấn công, người sau đó chiếm quyền điều khiển điện thoại và các ứng dụng được cài đặt bằng cách đánh chặn cuộc gọi điện thoại, tin nhắn SMS và mã xác thực hai yếu tố. Điều này cho phép kẻ tấn công truy cập vào tài khoản ngân hàng, chứng khoán, thẻ tín dụng và tiền điện tử của nạn nhân, rút hết số tiền có sẵn trong vài giây.

Lừa đảo “port-out” tương tự như “thay đổi SIM”. Trong cuộc tấn công này, tội phạm yêu cầu và nhận được một SIM card gắn với tài khoản của người đăng ký bằng cách giả mạo khách hàng trên web hoặc qua cuộc gọi điện thoại với công ty di động. Khi SIM card mới được gửi đến địa chỉ do kẻ trộm cung cấp cho nhà mạng, SIM được yêu cầu được đặt vào điện thoại của kẻ tấn công, cho phép chúng chiếm quyền tài khoản của khách hàng. Tương tự như lừa đảo “port-out”, kẻ trộm đánh chặn cuộc gọi điện thoại, tin nhắn SMS và mã xác thực hai yếu tố, cho phép chúng truy cập và rút hết tiền trong tài khoản ngân hàng, chứng khoán, thẻ tín dụng và tiền điện tử của nạn nhân.

Trang web đặt hàng của TracFone cũng liên quan đến hai sự cố khác xảy ra vào tháng 12 năm 2022 và tháng 1 năm 2023. Cả hai lần, kẻ tấn công đều có thể truy cập thông tin đặt hàng mà không cần xác thực. Những kẻ xấu đã lợi dụng một lỗ hổng trực tuyến không được vá cho đến tháng 2 năm 2023. FCC cáo buộc TracFone đã không bảo mật hợp lý thông tin cá nhân của khách hàng, đây là một vi phạm. Các nhà mạng được kỳ vọng sử dụng mọi biện pháp phòng ngừa hợp lý để bảo vệ thông tin cá nhân của khách hàng.

Điều 222 của Đạo luật Truyền thông quy định rằng việc không bảo mật hợp lý thông tin độc quyền của khách hàng vi phạm nghĩa vụ của nhà mạng. Nó cũng tạo thành một hành vi không công bằng và không hợp lý vi phạm Điều 201 của Đạo luật. Ngoài việc phải trả khoản tiền phạt dân sự 16 triệu USD, theo Thỏa thuận đồng ý, TracFone đã đồng ý khởi chạy một chương trình an ninh thông tin để giảm thiểu lỗ hổng API. Giảm thiểu những lỗ hổng này sẽ khiến cho kẻ tấn công khó khăn hơn trong việc tìm kiếm một lỗ hổng để khai thác.

FCC cũng yêu cầu TracFone đồng ý cải thiện khả năng phòng thủ chống lại các cuộc tấn công nghiêm trọng của khách hàng thông qua các vụ “thay đổi SIM” và “lừa đảo chuyển mạng” như đã đề cập. Công ty cũng sẽ đào tạo nhân viên về các vấn đề bảo mật và quyền riêng tư.

Ủy ban cũng đã thông qua các quy tắc yêu cầu các nhà mạng thực hiện các biện pháp hợp lý để phát hiện, báo cáo và bảo vệ chống lại các nỗ lực truy cập trái phép thông tin mạng độc quyền của khách hàng (CPNI) hoặc dữ liệu thuê bao do các công ty viễn thông thu thập.

TracFone, một công ty con hoàn toàn thuộc sở hữu của Verizon Wireless, sở hữu các thương hiệu như Straight Talk, Total by Verizon Wireless và Walmart Family Mobile. Verizon đã mua lại TracFone với giá hơn 6 tỷ USD bằng tiền mặt và cổ phiếu với thỏa thuận được công bố lần đầu tiên vào tháng 9 năm 2020. Giao dịch được hoàn tất vào tháng 11 năm 2021.