コムキャストは、2024年2月に発生し、約27万5,000人の顧客の個人情報が流出したベンダーのデータ侵害について、米連邦通信委員会(FCC)の調査を和解するため、150万ドルの罰金を支払う。
この侵害は、攻撃者が2024年2月に、コムキャストが2年前に利用を停止していた債権回収会社 Financial Business and Consumer Solutions(FBCS)のシステムをハッキングした際に 発生した。
当初、FBCSのデータ侵害は合計190万人に影響したと考えられていたが、その数は6月に 320万人に引き上げられ、最終的に7月には 420万人に達した。
FBCSは、2024年8月にデータ侵害を公表する前に破産を申請しており、7月15日(攻撃から5か月後)にコムキャストへ、顧客データが侵害され、273,703人のコムキャスト顧客に影響が出たと通知した。それ以前の3月には、この侵害はコムキャストの顧客には影響しないとコムキャストに保証していた。
攻撃者は2月14日から2月26日の間に、氏名、住所、社会保障番号、生年月日、コムキャストのアカウント番号など、影響を受けた現・元顧客の個人情報および財務情報を盗み出した。影響を受けた顧客は、コムキャストのXfinityブランドのインターネット、テレビ、ストリーミング、VoIP、ホームセキュリティサービスを利用していた。
FCCが 同意決定 を 月曜日に発表したことにより、コムキャストは、データ保護と顧客プライバシーの確保のためにベンダー監督を強化し、1984年ケーブル通信政策法で求められているとおり、事業目的で不要になった顧客情報をベンダーが適切に廃棄することを保証するコンプライアンス計画を実施することにも同意した。
この通信大手はまた、コンプライアンス担当責任者の任命、顧客データを扱うベンダーに対する2年ごとのリスク評価の実施、今後3年間にわたり6か月ごとにFCCへコンプライアンス報告書を提出すること、さらに重大な違反を発見してから30日以内に報告することも求められている。
しかしコムキャストは、ロイター への声明で、「本件に関して当社は責任を負うものではなく、いかなる不正行為も認めていない」と述べ、自社ネットワークは侵害されておらず、FBCSは契約上、セキュリティ要件を遵守する義務があったと指摘した。
コムキャストの広報担当者は、BleepingComputerからのコメント要請にすぐには応じなかった。
コムキャストは、米国のマスメディア、通信、エンターテインメントの多国籍企業であり、収益ベースではAT&T、ベライゾン、中国移動通信(China Mobile)に次ぐ世界第4位の通信企業である。
同社はまた、18万2,000人以上の従業員を抱え、世界中に数億人の顧客を有し、2024年には1,237億ドルの売上高を計上した。
