前情回顾·网络安全事故赔偿
安全内参11月15日消息,美国一家地方法院最终批准了针对奥睿律师事务所(Orrick, Herrington & Sutcliffe)的集体诉讼和解协议,总金额达800万美元(约合人民币5782万元)。该诉讼涉及一起黑客攻击事件,受影响者包括多个客户和超过63.8万名个人。
11月8日,美国加利福尼亚北区联邦地区法院正式批准了该和解协议。根据协议,集体诉讼成员可获得最高2500美元的可证明自付费用补偿,以及最高7500美元的额外损失赔偿。此外,九位主要原告每人将获得2500美元的服务奖励。
奥睿在数据泄露事件发生后曾为受影响者提供了24个月的信用监控服务。然而,根据和解协议,集体诉讼成员现在可以申请额外三年的信用监控服务,该服务由三大信用局提供,并包含100万美元的身份盗窃保险。
和解协议还要求奥睿加强其数据安全措施,实施并维持“有意义的数据安全增强措施”,以防止集体诉讼成员因未来可能发生的数据泄露事件受到损害。
法院文件显示,这些措施包括改进奥睿的检测和响应工具,增强网络及应用层面的持续漏洞扫描,部署额外的端点检测与响应软件,并与第三方网络安全供应商合作,进行全天候的托管检测与响应。
代表集体诉讼成员和原告的律师预计将获得200万美元的律师费,占800万美元和解金额的约四分之一。
超60万用户个人信息泄露
此次诉讼合并了四起针对奥睿的集体诉讼,焦点是2023年3月13日奥睿发现的一起黑客事件。
调查显示,一名网络犯罪分子自2022年11月19日至2023年3月13日期间,未经授权访问了奥睿的网络,时间长达将近四个月。最终,奥睿通知了63.8万名个人,告知其信息可能在此次事件中被访问并窃取。
被泄露的信息可能包括个人姓名、地址、出生日期、社会安全号码、健康信息及其他个人身份信息。
此次数据泄露事件中,受影响的奥睿客户还包括多个医疗保健领域的实体,如视力福利计划EyeMed和加州牙科保险计划Delta Dental。
最初,奥睿向监管机构报告称数据泄露影响了约15.3万人,但随后多次更新了其泄露报告,最终确认受影响人数超过63.8万。
代表奥睿处理该集体诉讼的律师,没有立即回应媒体关于和解协议的置评请求。
美国多家律所发生数据泄露问题
在奥睿数据泄露诉讼和解的同一周,美国密苏里州的Thompson Coburn律所向美国卫生与公众服务部报告了一起黑客事件,称事件影响了305088名个人的受保护健康信息。
Thompson Coburn在公告中表示,受影响的个人是新墨西哥州长老会医疗服务公司的患者,该公司是其法律服务客户。目前尚不清楚Thompson Coburn的其他医疗保健或其他行业客户是否也受到了此次黑客事件的波及。到目前为止,Thompson Coburn尚未发布任何其他数据泄露公告,律所也未回应媒体关于黑客事件的置评和澄清请求。
尽管如此,Thompson Coburn的数据泄露事件已经引起了其他律所的关注。11月12日,首起针对Thompson Coburn和长老会医疗服务公司的拟议集体诉讼在密苏里联邦法院提起,预计未来还会有更多类似的诉讼。
与此同时,几家律所也宣布正在调查Thompson Coburn的黑客事件,以便对其发起潜在的集体诉讼。其中包括代表奥睿数据泄露案原告和集体诉讼成员的Federman & Sherwood律所。
讽刺的是,Thompson Coburn和奥睿都为客户提供包括数据泄露诉讼援助在内的多种法律服务。
Thompson Coburn和奥睿的事件是律所对其医疗保健客户构成数据泄露风险的典型案例,尤其是在有第三方供应商参与时,风险会变得更加复杂。
今年6月,提供医疗记录检索及诉讼支持的Compex Legal Services公司向监管机构报告了一起数据外泄事件,并通知了未公开数量的客户。该事件于4月被发现,影响了近3万名个人,包括员工及其家属的过往和当前记录。
Compex表示,可能泄露的信息包括个人姓名、社会安全号码、金融账户信息、诊断信息、医疗记录号及健康保险信息。
目前,至少有四起联邦集体诉讼已由受影响个人提起,指控Compex在未能保护原告和集体诉讼成员的敏感信息方面存在过失。
Compex尚未立即回应媒体关于诉讼及黑客事件更多细节的置评请求。
参考资料:https://www.govinfosecurity.com/court-finalizes-8m-settlement-in-orrick-data-breach-case-a-26793
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
