La società mediatica Comcast ha accettato di pagare una multa di 1,5 milioni di dollari dopo che una violazione dei dati del fornitore ha esposto informazioni appartenenti a migliaia dei suoi clienti. La violazione è avvenuta all’interno dei sistemi di Financial Business and Consumer Solutions, un’agenzia di recupero crediti che in precedenza gestiva i conti clienti per Comcast. Il fornitore ha subito un’intrusione nel febbraio 2024, che ha permesso agli attaccanti di accedere a file contenenti informazioni personali. I dati esposti includevano nomi, indirizzi, date di nascita, numeri di previdenza sociale e numeri di conto interni utilizzati da Comcast.
Comcast ha dichiarato che i propri sistemi non sono stati compromessi. La violazione è stata limitata ai dati archiviati dal fornitore. L’azienda aveva terminato la relazione con il fornitore nel 2022, ma il fornitore continuava a conservare dati dei clienti che avrebbero dovuto essere cancellati. L’intrusione è stata segnalata a Comcast nel luglio 2024, diversi mesi dopo il suo avvenimento. Al momento della divulgazione, il venditore aveva dichiarato bancarotta, il che ha ulteriormente complicato la risposta. I regolatori hanno stabilito che i dati dei clienti non erano stati rimossi dall’ambiente del fornitore nonostante la fine del rapporto commerciale.
La Federal Communications Commission ha annunciato l’accordo e ha dichiarato che Comcast deve implementare una supervisione più rigorosa sui fornitori di servizi terzi che gestiscono i dati dei clienti. Secondo i termini dell’accordo, Comcast nominerà un responsabile della conformità responsabile del monitoraggio delle pratiche sui dati dei fornitori. L’azienda effettuerà inoltre audit regolari dei fornitori e presenterà rapporti di conformità all’ente regolatore ogni sei mesi per tre anni. Inoltre, Comcast deve assicurarsi che i dati dei clienti vengano cancellati quando non sono più necessari per scopi aziendali.
La violazione ha colpito circa 237.000 clienti attuali ed ex. I record compromessi, provenivano dai servizi Comcast, tra cui internet, televisione e sicurezza domestica. Le informazioni esposte potrebbero permettere a attori malintenzionati di compiere furto d’identità, creare account fraudolenti o tentare truffe mirate. Comcast ha contattato le persone coinvolte e ha consigliato loro di monitorare i propri account per eventuali attività sospette. Ha inoltre avvertito i clienti di non rispondere a messaggi non richiesti che richiedono dati personali o pagamenti.
Comcast ha dichiarato di aver accettato i termini dell’accordo ma di non aver ammesso un illecito. L’azienda ha dichiarato di essere impegnata a migliorare la gestione dei fornitori e a proteggere i dati dei clienti. L’incidente ha portato a una revisione di come i dati vengono gestiti una volta trasferiti a fornitori di servizi esterni. Comcast ha dichiarato di aggiornare le sue politiche interne per richiedere una verifica più rigorosa che i fornitori cancellano le informazioni dei clienti alla fine dei contratti.
Il caso evidenzia i rischi associati all’archiviazione dei dati da terze parti. Anche quando un’azienda mantiene forti controlli di sicurezza sui propri sistemi, le informazioni dei clienti conservate da fornitori esterni possono essere esposte se questi non implementano adeguate protezioni. I regolatori hanno incoraggiato le aziende a stabilire requisiti chiari per i fornitori, inclusi audit regolari e procedure documentate di cancellazione dei dati. Il mancato rispetto può comportare multe, perdita di fiducia dei clienti e danni reputazionali a lungo termine.
I clienti le cui informazioni potrebbero essere state esposte sono incoraggiati a trattare con cautela i messaggi imprevisti e a continuare a monitorare i conti finanziari. I ladri d’identità possono tentare di utilizzare dati personali esposti per aprire account o impersonare vittime. I clienti possono anche considerare l’uso di strumenti di monitoraggio del credito e l’inserimento di avvisi di frode nei loro file di credito se notano attività sospette.
L’accordo sottolinea l’importanza di una supervisione rigorosa quando le informazioni dei clienti vengono condivise con organizzazioni esterne. Le aziende che gestiscono grandi volumi di dati personali devono assicurarsi che tutti i partner rispettino gli stessi standard di sicurezza. Le conseguenze di una violazione di un fornitore possono influenzare sia i clienti che l’azienda responsabile dei dati.