关注我们
带你读懂网络安全
因供应商软件GoAnywhere零日漏洞被利用,Brightline公司百万用户数据泄露,因此被判赔偿用户超5000万元;
此次攻击事件导致上百家GoAnywhere客户数据泄露,其他公司仍在被诉讼中。
前情回顾·网络安全事故赔偿
安全内参2月14日消息,美国虚拟精神健康服务提供商Brightline已同意支付700万美元(约合人民币5098万元),以解决一项拟议中的联邦集体诉讼。该诉讼涉及2023年的一起数据泄露事件,受影响人数约为100万人。在此次事件中,勒索软件团伙Clop利用软件供应商Fortra旗下GoAnywhere托管文件传输(MFT)应用中的零日漏洞发动攻击。
Brightline总部位于美国加州帕洛阿尔托,为18个月至17岁儿童的家庭提供虚拟行为健康指导和治疗服务。
本次和解协议于周二获佛罗里达州一名联邦法官批准。根据协议,每位符合条件的集体诉讼成员可申请最高5000美元的赔偿,以弥补因该事件导致的身份盗窃、欺诈等可证明损失。作为替代方案,集体诉讼成员可选择一次性100美元的现金赔偿。此外,加州的和解子类成员还可申请100美元的加州法定赔偿。
集体诉讼成员还可申请为期三年的免费信用监控服务。如果此前已接受Brightline提供的两年信用监控服务,则可额外获得一年。
代表原告和集体诉讼成员的律师将获得最多33%的和解基金,即约230万美元的律师费及相关费用。
诉讼详情
根据修订后的合并诉状,Brightline被指控在保护客户敏感信息方面存在过失,并违反了加州《消费者隐私法》和《不正当竞争法》。
根据和解协议,Brightline否认所有指控,包括不当行为及法律责任。
Brightline数据泄露事件的核心是2023年1月发生的信息盗窃。诉状称,黑客通过未经授权访问Brightline使用的Fortra GoAnywhere MFT应用,窃取了原告及约100万人的私人信息。
在此次事件中,以俄语为主的数字勒索团伙Clop(又称CL0P)利用该软件的零日漏洞,在10天内窃取了130多个受害组织的数据信息。
诉状指出,黑客获取的文件中可能包含个人姓名、地址、会员ID、出生日期、电话号码、雇主名称、团体ID、健康保险计划的生效/终止日期及社会安全号码等敏感信息。
针对Brightline的拟议集体诉讼,是因GoAnywhere黑客攻击事件而在多个法院辖区提起的多起诉讼之一。这些案件已在美国佛罗里达州南区联邦地区法院集中处理,并划分为多个诉讼类别,其中包括Brightline案件所在的类别。
Brightline和解网站上的通知称:“继续作为和解集体的一员,并不会影响您对其他相关实体提起诉讼的权利。”
目前,大多数涉及Fortra黑客攻击的相关合并诉讼仍在法院审理中。
Hales法律集团的监管律师Paul Hales表示:“私人集体诉讼原告是健康信息隐私领域最活跃、最具威慑力的执法者。由于特朗普政府正在调整联邦机构的执法方式,他们在未来可能会发挥更加重要的作用。”
对于此次诉讼及和解事宜,Fortra及代表Brightline的律师均未立即回应媒体的置评请求。
近年来,Fortra并非唯一遭Clop攻击的托管文件传输软件供应商。该团伙还针对至少另外三家MFT平台发起了供应链攻击,包括Accellion、Serv-U及Progress Software旗下的MOVEit。
参考资料:govinfosecurity.com
点击下方卡片关注我们,
带你一起读懂网络安全 ↓
?发表于:中国 北京
