NUEVA YORK - El fiscal general de Nueva York, Letitia James, anunció hoy un acuerdo de $ 600,000 con EYEMED que resuelve una violación de datos de 2020 que comprometió la información personal de aproximadamente 2.1 millones de consumidores en todo el país, incluidos 98,632 en el estado de Nueva York.Eyemed, que proporciona beneficios de visión a los miembros de los planes de visión ofrecidos por suscriptores y empleadores con licencia, experimentó una violación de datos en la que los atacantes obtuvieron acceso a una cuenta de correo electrónico de Eyemed con información confidencial del cliente.La información comprometida incluía los nombres de los consumidores, las direcciones postales, los números de seguro social, los números de identificación para cuentas de seguro de salud y visión, diagnósticos y afecciones médicas e información de tratamiento médico.La intrusión permitió al atacante acceder a correos electrónicos y archivos adjuntos con información confidencial del cliente que data de seis años antes del ataque.
"Los neoyorquinos deben tener la seguridad de que su información de salud personal seguirá siendo privada y protegida", dijo el fiscal general James.“Eyemed traicionó esa confianza al no vigilar su propio sistema de seguridad, lo que a su vez comprometió la información personal de millones de personas.Deje que este acuerdo indique nuestro compromiso continuo con las compañías tenedoras responsables y garantizando que estén buscando el mejor interés de los neoyorquinos.Mi oficina continúa monitoreando activamente al estado por posibles violaciones, y continuaremos haciendo todo lo que está en nuestro poder para proteger a los neoyorquinos y su información personal ".
Antecedentes sobre el ataque
En junio de 2020, los atacantes obtuvieron acceso a una cuenta de correo electrónico EyeMed, que fue utilizada por clientes Eyemed para proporcionar datos confidenciales del consumidor en relación con la inscripción y cobertura de los beneficios de la visión.La intrusión, que duró aproximadamente una semana, le otorgó al atacante la capacidad de ver correos electrónicos y archivos adjuntos que datan de seis años, incluidos los nombres de los consumidores, las direcciones, los números de seguro social y los números de cuenta de seguros.
En julio de 2020, el atacante envió aproximadamente 2,000 correos electrónicos de phishing de la cuenta de correo electrónico comprometida a clientes Eyemed, buscando credenciales de inicio de sesión para sus cuentas.El departamento de TI de Eyemed notó los correos electrónicos de phishing y también recibió consultas de los clientes sobre estos correos electrónicos.Eyemed luego bloqueó el acceso del atacante a su sistema y comenzó a investigar la intrusión.
En septiembre de 2020, la compañía comenzó a notificar a los consumidores afectados cuya información personal se vio comprometida durante la violación.Con la notificación, la compañía ofreció a los clientes afectados servicios de protección de robo de identidad.La Oficina del Fiscal General determinó que, en el momento del ataque, Eyemed no había implementado la autenticación multifactorial (MFA) para la cuenta de correo electrónico afectada, a pesar de que la cuenta era accesible a través de un navegador web y contenía un gran volumen deinformación personal confidencial de los consumidores.Además, Eyemed no pudo implementar adecuadamente los requisitos de administración de contraseñas suficientes para la cuenta de correo electrónico de inscripción dado que era accesible a través de un navegador web y contenía un gran volumen de información personal confidencial.La compañía tampoco logró mantener el registro adecuado de sus cuentas de correo electrónico, lo que dificultó la investigación de incidentes de seguridad.
En total, la violación afectó a aproximadamente 2.1 millones de residentes estadounidenses, incluidos 98.632 en Nueva York.
Términos del acuerdo
Como parte del acuerdo, se requiere que Eyemed promulgue una serie de medidas para proteger la información personal de los consumidores de los ataques cibernéticos en el futuro, que incluyen:
· Mantener un programa integral de seguridad de la información que incluya actualizaciones periódicas para mantener el ritmo de los cambios en las amenazas de tecnología y seguridad, así como informar regularmente al liderazgo de la compañía cualquier riesgo de seguridad;
· Mantener la gestión y autenticación de cuentas razonables, incluido el uso de la autenticación multifactor para todas las cuentas de acceso administrativo o remoto, y revisar dichas salvaguardas anualmente;
· Cifrar información confidencial del consumidor que recopila, almacena, transmite y/o mantiene;
· Realizar un programa de pruebas de penetración razonable diseñado para identificar, evaluar y remediar vulnerabilidades de seguridad dentro de la red EYEMED;
· Implementación y mantenimiento de registro y monitoreo adecuados de la actividad de la red que sean accesibles por un período de al menos 90 días y almacenados durante al menos un año a partir de la fecha en que se registró la actividad;y
· Eliminar permanentemente la información personal de los consumidores cuando no hay un negocio razonable o un propósito legal para retenerla.
Eyemed también acordó pagar al estado de Nueva York $ 600,000 en multas.
Este asunto fue manejado por el fiscal general adjunto Noah Stein y el jefe adjunto de la Oficina Clark Russell, con una asistencia especial del analista de Internet y tecnología Joe Graham, de la Oficina de Internet y Tecnología, bajo la supervisión del jefe de la oficina Kim Berger.La Oficina de Internet y Tecnología es parte de la División de Justicia Económica, dirigida por el Fiscal General Jefe, Chris D'Angelo, y supervisado por el primer adjunto General, Jennifer Levy.
