Mediabedrijf Comcast heeft ermee ingestemd een boete van 1,5 miljoen USD te betalen nadat een datalek van de leverancier informatie van duizenden van zijn klanten blootlegde. De inbreuk vond plaats binnen de systemen van Financial Business and Consumer Solutions, een incassobureau dat eerder klantaccounts voor Comcast beheerde. De leverancier kreeg in februari 2024 een inbraak mee, waardoor aanvallers toegang kregen tot bestanden met persoonlijke informatie. De blootgestelde gegevens omvatten namen, adressen, geboortedata, sofinummers en interne rekeningnummers die door Comcast werden gebruikt.
Comcast zei dat hun eigen systemen niet waren gecompromitteerd. De inbreuk was beperkt tot gegevens die door de leverancier waren opgeslagen. Het bedrijf had in 2022 de relatie met de leverancier beëindigd, maar de leverancier bleef klantgegevens bewaren die eigenlijk verwijderd hadden moeten worden. De inbraak werd in juli 2024 bij Comcast gemeld, enkele maanden nadat het had plaatsgevonden. Tegen de tijd van de onthulling had de verkoper faillissement aangevraagd, wat de reactie verder bemoeilijkte. Toezichthouders stelden vast dat klantgegevens ondanks het einde van de zakelijke relatie niet uit de omgeving van de leverancier waren verwijderd.
De Federal Communications Commission maakte de schikking bekend en stelde dat Comcast strengere controle moet invoeren op externe dienstverleners die klantgegevens beheren. Volgens de voorwaarden van de schikking zal Comcast een compliance officer aanstellen die verantwoordelijk is voor het monitoren van de praktijken van leveranciersgegevens. Het bedrijf zal ook regelmatig audits uitvoeren bij leveranciers en elke zes maanden gedurende drie jaar compliance-rapporten indienen bij de toezichthouder. Daarnaast moet Comcast ervoor zorgen dat klantgegevens worden verwijderd wanneer deze niet langer nodig zijn voor zakelijke doeleinden.
De inbreuk trof ongeveer 237.000 huidige en voormalige klanten. De gecompromitteerde gegevens kwamen van Comcast-diensten, waaronder internet, televisie en huisbeveiliging. De blootgestelde informatie kan kwaadwillenden in staat stellen identiteitsdiefstal te plegen, frauduleuze accounts aan te maken of gerichte oplichting te plegen. Comcast heeft contact opgenomen met getroffen personen en hen geadviseerd hun accounts te monitoren op verdachte activiteiten. Ook heeft het klanten gewaarschuwd om niet te reageren op ongevraagde berichten waarin persoonlijke gegevens of betaling worden gevraagd.
Comcast zei dat het de voorwaarden van de schikking accepteerde, maar geen wangedrag erkende. Het bedrijf gaf aan zich in te zetten voor het verbeteren van leveranciersbeheer en het beschermen van klantgegevens. Het incident heeft geleid tot een herziening van hoe data wordt behandeld zodra deze wordt overgedragen aan externe dienstverleners. Comcast zei dat het zijn interne beleid bijwerkt om sterkere verificatie te eisen dat leveranciers klantinformatie verwijderen wanneer contracten eindigen.
De zaak benadrukt de risico’s die gepaard gaan met opslag door derden door data. Zelfs wanneer een bedrijf sterke beveiligingscontroles op zijn eigen systemen handhaaft, kan klantinformatie die door externe leveranciers wordt opgeslagen blootgesteld worden als die leveranciers er niet in slagen voldoende bescherming te implementeren. Toezichthouders hebben bedrijven aangemoedigd om duidelijke eisen voor leveranciers te stellen, waaronder regelmatige audits en gedocumenteerde procedures voor het verwijderen van gegevens. Het niet naleven hiervan kan leiden tot boetes, verlies van klantvertrouwen en langdurige reputatieschade.
Klanten van wie de informatie mogelijk is blootgesteld, worden aangemoedigd onverwachte berichten met voorzichtigheid te behandelen en financiële rekeningen te blijven monitoren. Identiteitsdieven kunnen proberen blootgestelde persoonlijke gegevens te gebruiken om accounts te openen of slachtoffers te imiteren. Klanten kunnen ook overwegen kredietmonitoringtools te gebruiken en fraudewaarschuwingen op hun kredietgegevens te plaatsen als ze verdachte activiteiten opmerken.
De schikking benadrukt het belang van streng toezicht wanneer klantinformatie wordt gedeeld met externe organisaties. Bedrijven die grote hoeveelheden persoonsgegevens verwerken, moeten ervoor zorgen dat alle partners dezelfde beveiligingsnormen volgen. De gevolgen van een leveranciersbreuk kunnen zowel klanten als het bedrijf dat verantwoordelijk is voor de data raken.