和解协议概况 - AT&T就两起大规模数据泄露事件达成1.77亿美元的和解协议 数千万客户需在12月18日前提出索赔 [1] - 该和解协议于2025年6月获得法院初步批准 旨在解决一起合并的集体诉讼 [2] - 和解金分为两部分 1.49亿美元用于第一起泄露事件 2800万美元用于第二起泄露事件 [10] - 最终批准听证会定于2026年1月15日 若无上诉 款项可能在90天内开始支付 即2026年4月左右 [12] 数据泄露事件详情 - 第一起泄露事件于2024年3月30日公布 涉及暗网上出现的客户数据 影响了约760万当前账户持有者和6540万前客户 泄露数据包括姓名、地址、电话号码、社会安全号码、出生日期和账户密码等敏感信息 [3] - 第二起泄露事件范围更广 AT&T于2024年7月12日在SEC文件中披露 黑客窃取了“几乎所有”无线客户的通话和短信元数据 数据覆盖2022年5月1日至10月31日以及2023年1月某一天的交互记录 虽不包含通话或短信内容 但揭示了通话双方、时间、频率和时长 部分客户的基站定位数据也被窃取 [4][5] - 第二起泄露事件可追溯至云数据平台Snowflake 据调查方Mandiant称 攻击者使用通过信息窃取恶意软件获取的凭证 访问了未启用多因素认证的客户环境 此次攻击中超过160个Snowflake客户环境可能受损 包括Ticketmaster、Santander Bank和Advance Auto Parts [6] 事件影响与公司应对 - 两起泄露事件合计影响了约7300万客户的个人信息以及近1.1亿AT&T无线订阅用户的通话记录 [2] - 美国司法部因国家安全和公共安全风险 曾两次要求AT&T延迟公开披露第二起泄露事件 这似乎是SEC网络安全披露规则自2023年12月生效以来 首次有公司因此获得延迟披露 [7] - 据报道 AT&T曾向黑客组织ShinyHunters的一名成员支付了约37万美元的比特币赎金 以换取删除被盗数据的视频 但公司未对此置评 [8] - 两名个人因与Snowflake攻击有关而被起诉 据美国司法部起诉书称 两人涉嫌访问“数十亿条敏感客户记录” 并向受害者勒索至少250万美元 [9] - AT&T在声明中否认有不当行为 表示同意和解是“为了避免漫长诉讼的费用和不确定性” 并重申“致力于保护客户数据” [11] 客户索赔方案 - 能够证明因数据泄露造成“可明确追溯”经济损失的客户 可就第一起事件索赔最高5000美元 就第二起事件索赔最高2500美元 若受两起事件影响 潜在最高索赔额合计为7500美元 [10] - 无法提供损失证明的客户 仍可在扣除律师费和行政费用后 按比例申领剩余的和解资金 [11] - 集体诉讼律师寻求从每笔和解基金中收取最高三分之一的费用 分别约为4970万美元和930万美元 [11]