NOVA YORK - O procurador -geral de Nova York Letitia James anunciou hoje um acordo de US $ 600.000 com a Eyemed que resolve uma violação de dados de 2020 que comprometeu as informações pessoais de aproximadamente 2,1 milhões de consumidores em todo o país, incluindo 98.632 no estado de Nova York.Eyemed - que fornece benefícios de visão aos membros de planos de visão oferecidos por subscritores e empregadores licenciados - experimentaram uma violação de dados na qual os invasores obtiveram acesso a uma conta de e -mail de olhos com informações confidenciais do cliente.As informações comprometidas incluíam nomes dos consumidores, endereços de correspondência, números de previdência social, números de identificação para contas de saúde e seguro de visão, diagnósticos e condições médicos e informações de tratamento médico.A intrusão permitiu o acesso ao invasor a e -mails e anexos com informações confidenciais do cliente, datadas de seis anos antes do ataque.
"Os nova -iorquinos devem ter toda a garantia de que suas informações pessoais de saúde permanecerão privadas e protegidas", disse o procurador -geral James.“Eyemed traiu essa confiança ao não ficar de olho em seu próprio sistema de segurança, o que, por sua vez, comprometeu as informações pessoais de milhões de indivíduos.Deixe este contrato sinalizar nosso compromisso contínuo com as empresas responsáveis e garantir que elas estejam cuidando do melhor interesse dos nova -iorquinos.Meu escritório continua a monitorar ativamente o estado por possíveis violações e continuaremos a fazer tudo ao nosso alcance para proteger os nova -iorquinos e suas informações pessoais. ”
Antecedentes no ataque
Em junho de 2020, o invasor (s) obteve acesso a uma conta de e -mail Eyemed, usada pelos clientes da Oyemed para fornecer dados sensíveis ao consumidor em conexão com a inscrição e cobertura de benefícios da visão.A intrusão, que durou aproximadamente uma semana, concedeu ao invasor a capacidade de visualizar e -mails e anexos que datam de seis anos, incluindo nomes, endereços, números de seguridade social e números de contas de seguros.
Em julho de 2020, o invasor enviou aproximadamente 2.000 e -mails de phishing da conta de email comprometida a clientes e olhos, buscando credenciais de login para suas contas.O departamento de TI de Eyemed notou os e -mails de phishing e também recebeu consultas de clientes sobre esses e -mails.Eyemed bloqueou o acesso do atacante ao seu sistema e começou a investigar a intrusão.
Em setembro de 2020, a empresa começou a notificar os consumidores afetados cujas informações pessoais foram comprometidas durante a violação.Com a notificação, a empresa ofereceu aos clientes afetados com serviços de proteção contra roubo de identidade.O Escritório do Procurador -Geral determinou que, no momento do ataque, Eyemed não havia implementado a autenticação multifatorial (MFA) para a conta de email afetada, apesar de a conta estar acessível por um navegador da Web e continha um grande volume deInformações pessoais sensíveis aos consumidores.Além disso, a Eyemed não conseguiu implementar adequadamente os requisitos de gerenciamento de senhas suficientes para a conta de email de inscrição, dado que era acessível por meio de um navegador da Web e continha um grande volume de informações pessoais sensíveis.A empresa também não conseguiu manter o registro adequado de suas contas de email, o que dificultou a investigação de incidentes de segurança.
No total, a violação afetou aproximadamente 2,1 milhões de residentes dos EUA, incluindo 98.632 em Nova York.
Termos do Contrato
Como parte do contrato, a Eyemed é necessária para aprovar uma série de medidas para proteger as informações pessoais dos consumidores de ataques cibernéticos no futuro, incluindo:
· Manter um programa abrangente de segurança da informação que inclua atualizações regulares para acompanhar as mudanças em tecnologia e ameaças à segurança, além de relatar regularmente à liderança da empresa quaisquer riscos de segurança;
· Manter o gerenciamento e autenticação de contas razoáveis, incluindo a exigência do uso de autenticação de vários fatores para todas as contas de acesso administrativo ou remoto e revisão de tais salvaguardas anualmente;
· Criptografar informações sensíveis ao consumidor que coleta, armazena, transmite e/ou mantém;
· Conduzir um programa de teste de penetração razoável, projetado para identificar, avaliar e remediar vulnerabilidades de segurança na rede Eyemed;
· Implementar e manter o registro e o monitoramento apropriados da atividade da rede acessíveis por um período de pelo menos 90 dias e armazenados por pelo menos um ano a partir da data em que a atividade foi registrada;e
· Excluindo permanentemente as informações pessoais dos consumidores quando não há negócios razoáveis ou objetivos legais para mantê -las.
Eyemed também concordou em pagar o estado de Nova York US $ 600.000 em multas.
Este assunto foi tratado pelo procurador -geral assistente Noah Stein e pelo vice -chefe do Departamento, Clark Russell, com assistência especial do analista de Internet e tecnologia Joe Graham, do Departamento de Internet e Tecnologia, sob a supervisão do chefe do Bureau, Kim Berger.O Departamento de Internet e Tecnologia faz parte da Divisão de Justiça Econômica, que é liderada pelo vice -procurador -geral Chris D'Angelo e supervisionado pelo primeiro vice -procurador -geral Jennifer Levy.
