Medya şirketi Comcast, binlerce müşterisine ait bilgileri ortaya çıkaran bir satıcı veri ihlali nedeniyle 1,5 milyon USD para cezası ödemeyi kabul etti. İhlal, daha önce Comcast için müşteri hesaplarını yöneten bir borç tahsilat ajansı olan Financial Business and Consumer Solutions sistemlerinde gerçekleşti. Tedarikçi, Şubat 2024’te bir müdahale yaşadı ve saldırganlar kişisel bilgiler içeren dosyalara erişebildi. Ortaya çıkan veriler arasında isimler, adresler, doğum tarihleri, Sosyal Güvenlik numaraları ve Comcast tarafından kullanılan iç hesap numaraları yer alıyordu.
Comcast, kendi sistemlerinin tehlikeye girmediğini belirtti. İhlal sadece satıcı tarafından depolanan verilerle sınırlıydı. Şirket, satıcı ile ilişkisini 2022’de sonlandırmıştı, ancak satıcı silinmesi gereken müşteri verilerini saklamaya devam etti. Müdahale, gerçekleşmesinden birkaç ay sonra, Temmuz 2024’te Comcast’e bildirildi. Açıklama sırasında satıcı iflas başvurusunda bulunmuştu ve bu da yanıtı daha da karmaşıklaştırdı. Düzenleyiciler, iş ilişkisinin sona ermesine rağmen müşteri verilerinin satıcının ortamından kaldırılmadığını belirledi.
Federal İletişim Komisyonu uzlaşmayı duyurdu ve Comcast’in müşteri kayıtlarını işleyen üçüncü taraf hizmet sağlayıcıları üzerinde daha güçlü denetim uygulamaları gerektiğini söyledi. Anlaşmanın şartlarına göre, Comcast tedarikçi veri uygulamalarını izlemekten sorumlu bir uyum görevlisi atayacak. Şirket ayrıca tedarikçilerin düzenli denetimlerini gerçekleştirecek ve üç yıl boyunca her altı ayda bir düzenleyiciye uyum raporları sunacaktır. Ayrıca, Comcast, müşteri verilerinin iş amaçları için artık gerekli olmadığında silinmesini sağlamalıdır.
İhlal yaklaşık 237.000 mevcut ve eski müşteriyi etkiledi. Ele salınan kayıtlar Comcast hizmetlerinden, internet, televizyon ve ev güvenliğinden geliyordu. Ortaya çıkan bilgiler, kötü niyetli aktörlerin kimlik hırsızlığına karışmasına, sahte hesaplar oluşturmasına veya hedefli dolandırıcılıklara girişmesine olanak tanıyabilir. Comcast, etkilenen kişilerle iletişime geçip hesaplarını şüpheli faaliyetler için takip etmelerini tavsiye etti. Ayrıca, müşterileri kişisel bilgiler veya ödeme talep eden istenmeyen mesajlara yanıt vermemeleri konusunda uyardı.
Comcast, uzlaşmanın şartlarını kabul ettiğini ancak yanlış bir suçu kabul etmediğini belirtti. Şirket, tedarikçi yönetimini geliştirmeye ve müşteri verilerini korumaya kararlı olduğunu belirtti. Bu olay, verilerin dış hizmet sağlayıcılarına aktarıldığında nasıl işlendiğine dair bir incelemeye yol açtı. Comcast, sözleşmeler sona erdiğinde satıcıların müşteri bilgilerini silmesini daha güçlü doğrulama gerektirecek şekilde iç politikalarını güncellediğini söyledi.
Dava, üçüncü taraf veri depolama ile ilgili riskleri ortaya koyuyor. Bir şirket kendi sistemlerinde güçlü güvenlik kontrolleri uygulasa bile, dış tedarikçiler tarafından depolanan müşteri bilgileri, bu tedarikçiler yeterli koruma uygulamazsa açığa çıkabilir. Düzenleyiciler, şirketleri düzenli denetimler ve belgelenmiş veri silme prosedürleri dahil olmak üzere tedarikçiler için net gereksinimler belirlemeye teşvik etti. Bunu yapmamak para cezalarına, müşteri güveninin kaybına ve uzun vadeli itibar kaybına yol açabilir.
Bilgileri açığa çıkmış olabilecek müşteriler, beklenmedik mesajlara temkinli yaklaşmaları ve finansal hesaplarını izlemeye devam etmeleri teşvik edilir. Kimlik hırsızları, açığa çıkan kişisel verileri kullanarak hesap açmaya veya mağdur kimliğini taklit etmeye çalışabilir. Müşteriler ayrıca şüpheli bir faaliyet fark ettiklerinde kredi izleme araçları kullanmayı ve kredi dosyalarına dolandırıcılık uyarıları yerleştirmeyi düşünebilirler.
Bu anlaşma, müşteri bilgileri dış kuruluşlarla paylaşıldığında güçlü denetimin önemini vurguluyor. Büyük hacimlerde kişisel veri işleyecek şirketler, tüm ortakların aynı güvenlik standartlarını takip ettiğinden emin olmalıdır. Bir tedarikçi ihlalinin sonuçları hem müşterileri hem de veriden sorumlu şirketi etkileyebilir.