De Amerikaanse staat Washington heeft de Amerikaanse tak van T-Mobile aangeklaagd voor een datalek waarbij de gegevens van 79 miljoen huidige en voormalige klanten werden gestolen. Het ging onder andere om namen, geboortedata, social-securitynummers en rijbewijsinformatie, alsmede telefoonnummers en IMEI- en IMSI-informatie die in augustus 2021 in handen van aanvallers kwamen. De data werd vervolgens op internet te koop aangeboden.

Volgens Bob Ferguson, procureur-generaal van Washington, heeft T-Mobile de gevoelige persoonlijke informatie van meer dan twee miljoen inwoners van de staat niet goed beveiligd, wat tot het datalek leidde. In de aanklacht stelt Ferguson dat T-Mobile al jaren van sommige kwetsbaarheden op de hoogte was en onvoldoende deed om die te verhelpen. Tegelijkertijd liet T-Mobile tegenover klanten weten dat het de bescherming van verzamelde persoonlijke data prioriteit gaf.

De aanklacht claimt verder dat T-Mobile door een gebrek aan securitymonitoring het datalek pas ontdekte toen een anonieme externe bron meldde dat klantgegevens op internet werden aangeboden. Tevens zouden klanten op onjuiste wijze over het datalek zijn ingelicht, waarbij allerlei belangrijke informatie in de waarschuwing ontbrak. Ferguson stelt dat T-Mobile jarenlang niet aan industriestandaarden voor cybersecurity voldeed en van aanwezige kwetsbaarheden afwist. Het ging onder andere om onvoldoende processen voor het identificeren en verhelpen van securitydreigingen en een 'systemisch gebrek' aan toezicht.

Volgens Ferguson heeft T-Mobile met deze tekortkomingen de consumentenbeschermingswetgeving van Washington overtreden. De procureur-generaal wil dat T-Mobile boetes en schadevergoedingen gaat betalen, alsmede wordt verplicht om beveiligingsbeleid en -procedures te verbeteren en hier transparanter in de communicatie aan klanten over te zijn. In 2022 besloot T-Mobile een door klanten aangespannen massaclaim wegens het datalek voor 350 miljoen dollar te schikken.