Генеральный прокурор Джеймс взыскал 1,25 миллиона долларов для потребителей, пострадавших от утечки данных Carnival Cruise Line

Бедные Методы обеспечения безопасности в компании Carnival Cruise Line раскрыли персональную информацию
 Тысячи жителей Нью-Йорка и потребителей по всей стране

Нью-Йорк получит 44 000 долларов от многостороннего урегулирования с круизной линией

НЬЮ-ЙОРК - Генеральный прокурор Джеймс вместе с 45 генеральными прокурорами сегодня взыскали 1,25 миллиона долларов с компании Carnival Cruise Line (Carnival) за компрометацию личной информации тысяч сотрудников и потребителей из-за плохой внутренней практики безопасности. В результате утечки данных в 2019 году была раскрыта личная информация 180 000 сотрудников и клиентов компании Carnival по всей стране, включая 6575 жителей Нью-Йорка. Carnival выплатит Нью-Йорку 44 092,12 долларов США в виде штрафов.

"Carnival Cruise Line не обеспечила надежную стыковку и защиту личной информации тысяч потребителей", - заявил генеральный прокурор Джеймс. "В современную цифровую эпоху компании должны усилить меры по обеспечению конфиденциальности данных, чтобы защитить потребителей от мошенничества. Жители Нью-Йорка, находящиеся в отпуске, не должны беспокоиться о том, что их личная информация может быть раскрыта. Сегодняшнее соглашение потребует от Carnival изменить свою безрассудную практику защиты данных".

В марте 2020 года компания Carnival публично сообщила об утечке данных, в результате которой неавторизованное лицо получило доступ к некоторым учетным записям электронной почты сотрудников Carnival. Взлом включал имена, адреса, номера паспортов, водительских прав, информацию о платежных картах, медицинскую информацию и относительно небольшое количество номеров социального страхования. 

В уведомлениях о взломе, направленных в генеральные прокуратуры, говорится, что Carnival впервые узнала о подозрительной активности электронной почты в конце мая 2019 года - примерно за 10 месяцев до того, как Carnival сообщила о взломе. После этого было проведено расследование в нескольких штатах, в ходе которого основное внимание уделялось методам обеспечения безопасности электронной почты компании Carnival и соблюдению законов штатов об уведомлении о нарушениях. Нарушения "неструктурированных" данных, такие как нарушение данных в компании Carnival, связаны с личной информацией, хранящейся в электронной почте и других неорганизованных платформах. Предприятиям не хватает видимости этих данных, что делает уведомление о нарушении более сложной задачей и создает дополнительные риски для потребителей из-за задержек.

В рамках сегодняшнего соглашения Carnival согласилась с рядом положений, направленных на укрепление безопасности электронной почты и практики реагирования на нарушения в будущем, включая:

  • Внедрение и поддержание плана реагирования на нарушение и уведомления о нем;
  • Обязательное обучение сотрудников безопасности электронной почты, включая специальные тренинги по фишингу;
  • Внедрение многофакторной аутентификации для удаленного доступа к электронной почте;
  • Требование использования надежных, сложных паролей, ротации паролей и безопасного хранения паролей для политик и процедур паролей;
  • Поддержание усовершенствованных средств анализа поведения для регистрации и мониторинга потенциальных событий безопасности в сети компании; и,
  • Проведение независимой оценки информационной безопасности, в соответствии с прошлыми решениями об устранении утечек данных.

Нью-Йорк присоединился к расследованию и урегулированию с Алабамой, Аляской, Аризоной, Арканзасом, Колорадо, Коннектикутом, Делавэром, округом Колумбия, Флоридой, Джорджией, Гавайями, Айдахо, Индианой, Айовой, Канзасом, Кентукки, Луизианой, Мэном, Мэрилендом, Массачусетсом, Мичиганом, Миннесота, Монтана, Небраска, Невада, Нью-Гэмпшир, Нью-Джерси, Нью-Мексико, Северная Каролина, Северная Дакота, Огайо, Оклахома, Орегон, Пенсильвания, Род-Айленд, Южная Каролина, Южная Дакота, Теннесси, Юта, Вермонт, Вирджиния, Вашингтон, Западная Вирджиния, Висконсин и Вайоминг.

Этим вопросом занимался заместитель начальника бюро Кларк Рассел из Бюро интернета и технологий под руководством начальника бюро Кима Бергера. Бюро интернета и технологий входит в состав Отдела экономического правосудия и возглавляется главным заместителем генерального прокурора Крисом Д'Анджело. Отдел экономического правосудия курирует первый заместитель генерального прокурора Дженнифер Леви.