De Amerikaanse telecomprovider TracFone, een dochteronderneming van Verizon Wireless, schikt drie datalekken die door kwetsbare API's plaatsvonden voor een bedrag van 16 miljoen dollar. Dat meldt de Amerikaanse telecomtoezichthouder FCC (pdf). De drie datalekken deden zich de afgelopen drie jaar voor. Aanvallers wisten via onbeveiligde application programming interfaces (API's) persoonlijke gegevens van klanten te stelen.

API's worden veel gebruikt voor het uitwisselen van data en zijn daardoor een geliefd doelwit voor aanvallers, aldus de FCC. "API-beveiliging is van het grootste belang en zou op de radar van alle telecomproviders moeten staan", zo stelt de toezichthouder. Doordat het bedrijf klantgegevens niet goed beschermde heeft TracFone de Amerikaanse Communications Act overtreden.

Naast een schikkingsbedrag van 16 miljoen dollar moet TracFone ook een uitgebreid beveiligingsprogramma doorvoeren om API-kwetsbaarheden te verminderen. Het informatiebeveiligingsbeleid moet jaarlijks door onafhankelijke partijen worden gecontroleerd, moeten SIM-gerelateerde aanpassingen bij klanten beter worden beveiligd en moeten er privacy en security awarenesstrainingen aan personeel en bepaalde derde partijen gegeven worden.