Персональные данные: центры зрения заплатят $600 тыс. за утечку
Американская компания EyeMed, предоставляющая услуги диагностики и лечения глазных заболеваний, согласилась выплатить штраф за то, что в 2020 г. потеряла персональные данные пациентов. В ходе кибератаки хакерам удалось похитить персональные данные более 2 млн клиентов EyeMed.
Генеральный прокурор Нью-Йорка Летиция Джеймс (Letitia James) объявила о соглашении с компанией EyeMed. Допустив крупную утечку конфиденциальной информации клиентов, компания готова выплатить штраф в размере $600 тыс.
Напомним, что в 2020 г. неизвестные злоумышленники взломали учетную запись электронной почты EyeMed и получили доступ к конфиденциальной информации клиентов компании. Скомпрометированная конфиденциальная информация включала имена, почтовые адреса, номера социального страхования, медицинские диагнозы, данные о лечении. В общей сложности неизвестные смогли получить доступ к электронным письмам и вложениям за шесть лет. Вторжение продолжалось неделю.
По данным прокуратуры, оказались скомпрометированы персональные данные примерно 2,1 млн клиентов EyeMed, живущих на всей территории США, в том числе данные более 98 тыс. резидентов штата Нью-Йорк. Используя похищенную информацию, в июле 2020 г. хакер успел отправить со взломанного аккаунта более 2000 фишинговых писем клиентам EyeMed, запрашивая их учетные данные. Заметив фишинговую активность и получив от клиентов жалобы на подозрительные письма, ИТ-служба EyeMed смогла заблокировать доступ хакера к системе.
По условиям соглашения с прокуратурой, компания EyeMed не только должна выплатить штраф, но и обязуется принять ряд мер для защиты персональных данных потребителей от кибератак. В частности, компания должна регулярно проводить обновление ПО, поддерживать двухфакторную аутентификацию для всех административных учетных записей, шифровать всю конфиденциальную информацию, проводить тесты на проникновение.