A empresa de mídia Comcast concordou em pagar uma multa de USD 1,5 milhão após uma violação de dados de um fornecedor expor informações pertencentes a milhares de seus clientes. A violação ocorreu dentro dos sistemas da Financial Business and Consumer Solutions, uma agência de cobrança de dívidas que anteriormente cuidava das contas de clientes da Comcast. O fornecedor sofreu uma invasão em fevereiro de 2024, que permitiu aos atacantes acessar arquivos contendo informações pessoais. Os dados expostos incluíam nomes, endereços, datas de nascimento, números de Previdência Social e números de conta interna usados pela Comcast.
A Comcast afirmou que seus próprios sistemas não foram comprometidos. A violação se limitou aos dados armazenados pelo fornecedor. A empresa encerrou sua relação com o fornecedor em 2022, mas o fornecedor continuou a manter dados de clientes que deveriam ter sido excluídos. A intrusão foi reportada à Comcast em julho de 2024, vários meses após ocorrer. No momento da divulgação, o fornecedor já havia pedido falência, o que complicou ainda mais a resposta. Os reguladores determinaram que os dados dos clientes não haviam sido removidos do ambiente do fornecedor, apesar do término do relacionamento comercial.
A Comissão Federal de Comunicações anunciou o acordo e afirmou que a Comcast deve implementar uma supervisão mais rigorosa sobre provedores de serviços terceirizados que lidam com os registros dos clientes. De acordo com os termos do acordo, a Comcast nomeará um oficial de conformidade responsável pelo monitoramento das práticas de dados dos fornecedores. A empresa também realizará auditorias regulares dos fornecedores e enviará relatórios de conformidade ao órgão regulador a cada seis meses durante três anos. Além disso, a Comcast deve garantir que os dados dos clientes sejam excluídos quando não forem mais necessários para fins comerciais.
A violação afetou cerca de 237.000 clientes atuais e antigos. Os registros comprometidos vieram de serviços da Comcast, incluindo internet, televisão e segurança residencial. As informações expostas podem permitir que agentes maliciosos cometam roubo de identidade, criem contas fraudulentas ou tentem golpes direcionados. A Comcast entrou em contato com os indivíduos afetados e os orientou a monitorar suas contas em busca de atividades suspeitas. Também alertou os clientes para não responderem a mensagens não solicitadas solicitando dados pessoais ou pagamento.
A Comcast afirmou que aceitou os termos do acordo, mas não admitiu irregularidades. A empresa afirmou que está comprometida em melhorar a gestão de fornecedores e proteger os dados dos clientes. O incidente motivou uma revisão de como os dados são tratados depois de transferidos para provedores de serviços externos. A Comcast afirmou que está atualizando suas políticas internas para exigir uma verificação mais rigorosa de que os fornecedores excluam informações dos clientes quando os contratos terminam.
O caso destaca os riscos associados ao armazenamento de dados por terceiros. Mesmo quando uma empresa mantém controles de segurança rigorosos em seus próprios sistemas, informações do cliente armazenadas por fornecedores externos podem ser expostas caso esses fornecedores não implementem proteções adequadas. Os reguladores incentivaram as empresas a estabelecer requisitos claros para os fornecedores, incluindo auditorias regulares e procedimentos documentados de exclusão de dados. O não cumprimento pode resultar em multas, perda de confiança do cliente e danos reputacionais a longo prazo.
Clientes cujas informações possam ter sido expostas são incentivados a tratar mensagens inesperadas com cautela e a continuar monitorando as contas financeiras. Ladrões de identidade podem tentar usar dados pessoais expostos para abrir contas ou se passar por vítimas. Os clientes também podem considerar usar ferramentas de monitoramento de crédito e colocar alertas de fraude em seus arquivos de crédito caso percebam atividade suspeita.
O acordo ressalta a importância de uma supervisão rigorosa quando as informações dos clientes são compartilhadas com organizações externas. Empresas que lidam com grandes volumes de dados pessoais devem garantir que todos os parceiros sigam os mesmos padrões de segurança. As consequências de uma violação de fornecedor podem afetar tanto os clientes quanto a empresa responsável pelos dados.