Újabb súlyos következménye lett az egyre gyakoribb és kiterjedtebb adatvédelmi botrányoknak: az Egyesült Államok texasi kerületi bírósága jóváhagyta az AT&T ellen indított csoportos kereset peren kívüli egyezségét, amely 177 millió dolláros kártérítést jelent. A döntést Ada Brown bíró hozta meg, miután tavaly két jelentős adatvédelmi incidens is nyilvánosságra került, amelyek összesen legalább 73 millió felhasználót érintettek. A számok önmagukért beszélnek: 7,6 millió aktív, illetve 65,4 millió korábbi ügyfél személyes adatai kerültek ki a dark webre, köztük jelszavak, elérhetőségek és részletes hívásnaplók.
A legaggasztóbb események közé tartozik az a támadás, amely az AT&T belső Snowflake-alapú felhőplatformját érte, és hat hónapnyi hívás- és üzenetmetaadatot szívott le - gyakorlatilag az egész ügyfélállományra kiterjedően. Egy másik esetben olyan adatok kerültek nyilvánosságra, amelyek 2019-ig nyúlnak vissza, ami a vállalat adatmegőrzési gyakorlatát is komoly kérdések elé állította. A legsúlyosabb anyagi felelősség mégis egy 2023-as incidenshez kötődik, ahol egy évekkel korábban szerződött felhőszolgáltató nem törölte a rábízott számlázási adatokat. Ez "csupán" 8,9 millió ügyfelet érintett, de az FCC így is 13 millió dolláros büntetést szabott ki az AT&T-re.
A mostani egyezség szerint azok az ügyfelek, akik hitelt érdemlően bizonyítják, hogy pénzügyi kárt szenvedtek az adatlopások következtében, akár 2 500, kivételes esetekben 5 000 dollárt is kaphatnak. A többi érintett kisebb összegű kompenzációra számíthat, amelyet egyelőre még nem határoztak meg. A kifizetések 2026 elején indulhatnak, de az igazi veszteség valószínűleg nem pénzügyi, hanem reputációs lesz.
Az AT&T tagadja a felelősséget, de az egyezséget elfogadta, hogy elkerülje a hosszadalmas és költséges pereskedést. A döntés egy olyan iparági trend része, amelyben a nagy technológiai és telekommunikációs cégek immár rutinszerűen zárják le adatvédelmi válságaikat több százmillió dolláros peren kívüli megállapodásokkal. Az AT&T mellett a T-Mobile is nemrég kezdte el kifizetni 350 milliós kártérítését a 2021-2022-es adatlopási hullám után, de 2025-ben már a Google, a Coinbase és a Grubhub is kénytelen volt elismerni különféle szivárgásokat.
A valódi kérdés nem az, hogy mekkora lesz a következő csekk összege, hanem az, hogy ezek a vállalatok hajlandóak lesznek-e valóban megerősíteni kiberbiztonsági rendszereiket. Vagy a több tízmilliós bírságok csupán üzleti költségtétellé silányulnak egy olyan korban, amikor az ügyféladat aranyat ér, a védelem viszont továbbra is másodlagos prioritás marad.
