A gigante das telecomunicações Comcast chegou a acordo para pagar uma multa civil de 1,5 milhões de dólares (cerca de 1,42 milhões de euros) para encerrar uma investigação da Federal Communications Commission (FCC). Em causa está uma violação de dados ocorrida em fevereiro de 2024 num fornecedor externo, que expôs as informações pessoais de quase 275.000 clientes da operadora.
O incidente expõe os riscos associados à gestão de dados por terceiros, uma vez que os atacantes não penetraram diretamente na rede da Comcast, mas sim nos sistemas da Financial Business and Consumer Solutions (FBCS), uma empresa de cobrança de dívidas. O detalhe mais alarmante é que a Comcast já tinha deixado de utilizar os serviços desta empresa dois anos antes do ataque, levantando questões sobre as políticas de retenção e eliminação de dados.
Um "fantasma" do passado
O ataque aos sistemas da FBCS ocorreu entre 14 e 26 de fevereiro de 2024. Inicialmente, em março, a empresa de cobranças assegurou à Comcast que os dados dos seus subscritores não tinham sido afetados. No entanto, a narrativa mudou drasticamente meses depois. A 15 de julho, cerca de cinco meses após a intrusão, a FBCS notificou a Comcast de que, afinal, as informações de 273.703 clientes tinham sido comprometidas.
A escala global deste ataque à FBCS foi crescendo ao longo do tempo: inicialmente estimava-se que tivesse afetado 1,9 milhões de pessoas no total (entre todos os seus clientes corporativos), número que subiu para 3,2 milhões em junho e atingiu os 4,2 milhões em julho. A empresa acabou por declarar falência antes de revelar a extensão total da violação em agosto de 2024.
As informações roubadas incluem dados sensíveis como nomes, moradas, datas de nascimento, números de Segurança Social e números de conta da Comcast. Os utilizadores afetados eram clientes, atuais e antigos, dos serviços de internet, televisão e segurança doméstica da marca Xfinity.
Novas regras e a defesa da Comcast
Como parte do decreto de consentimento anunciado pela FCC, a Comcast concordou em implementar um plano de conformidade rigoroso. Este plano inclui uma supervisão reforçada dos seus fornecedores para garantir a privacidade dos clientes e, crucialmente, assegurar que os parceiros eliminam adequadamente as informações dos clientes quando estas deixam de ser necessárias para fins comerciais.
A operadora terá ainda de nomear um responsável pela conformidade, realizar avaliações de risco aos fornecedores que lidam com dados de clientes a cada dois anos e reportar quaisquer violações materiais num prazo de 30 dias.
Apesar do acordo, a Comcast mantém que não foi responsável pelo incidente. Em comunicado, a empresa sublinhou que a sua própria rede não foi violada e que a FBCS estava contratualmente obrigada a cumprir requisitos de segurança específicos. A Comcast é uma das maiores empresas do setor a nível mundial, posicionando-se no ranking de receitas logo após gigantes como a AT&T e a Verizon.
Nenhum comentário
Seja o primeiro!