Генеральный прокурор Джеймс взыскал 400 000 долларов с компании Wegmans после того, как в результате утечки данных была раскрыта личная информация потребителей

Генеральный прокурор Джеймс требует от компании Wegmans улучшить практику безопасности хранения данных
для защиты потребителей

НЬЮ-ЙОРК - Генеральный прокурор Нью-Йорка Летиция Джеймс сегодня взыскала 400 000 долларов с сети продуктовых магазинов Wegmans за раскрытие личной информации более чем трех миллионов потребителей по всей стране, включая более 830 000 жителей Нью-Йорка. В течение многих лет компания Wegmans хранила личную информацию потребителей в неправильно сконфигурированных контейнерах облачного хранилища, которые были открыты, что облегчало хакерам или другим лицам потенциальный доступ к информации. Скомпрометированные данные включали имена пользователей и пароли для счетов Wegmans, а также имена клиентов, адреса электронной почты, почтовые адреса и дополнительные данные, полученные из номеров водительских прав. В результате действий генерального прокурора Джеймса компания Wegmans также обязана усовершенствовать свои методы защиты данных для защиты потребителей.

"Компания Wegmans не смогла надежно хранить и запечатать личные данные своих потребителей, вместо этого она годами оставляла конфиденциальную информацию на виду", - заявил генеральный прокурор Джеймс. "Сегодня компания Wegmans расплачивается за безрассудное обращение с персональными данными миллионов потребителей и их обнародование в Интернете. В 21st веке нет оправдания тому, что компании имеют плохие системы кибербезопасности и практики, которые вредят потребителям".

В апреле 2021 года исследователь безопасности сообщил компании Wegmans, что контейнер облачного хранилища, размещенный на Microsoft Azure, был оставлен незащищенным и открытым для публичного доступа, что могло привести к раскрытию конфиденциальной информации потребителей. Компания Wegmans немедленно проверила свою облачную среду и обнаружила контейнер, в котором находился файл резервной копии базы данных с более чем тремя миллионами записей адресов электронной почты клиентов и паролей учетных записей. Контейнер был неправильно сконфигурирован с момента его создания в январе 2018 года до апреля 2021 года. За это время неавторизованное лицо могло получить доступ и взломать учетные данные, используя их для входа в учетную запись клиента Wegmans или для доступа к учетной записи клиента на другом сайте, если клиент повторно использовал свой пароль. В мае 2021 года компания Wegmans обнаружила второй контейнер облачного хранилища, который также был неправильно сконфигурирован. В контейнере для хранения, который оставался в открытом доступе с момента его установки в ноябре 2018 года, хранилась база данных, включавшая имена клиентов, адреса электронной почты, почтовые адреса и дополнительные данные, полученные из номеров водительских прав. 

В июне 2021 года компания Wegmans начала уведомлять пострадавших потребителей, чья личная информация была скомпрометирована в ходе инцидента. Генеральная прокуратура (OAG) установила, что, помимо того, что компания Wegmans не смогла должным образом настроить контейнеры облачного хранилища для ограничения доступа к их содержимому, на момент инцидента она не провела инвентаризацию своих облачных активов, содержащих персональную информацию, не защитила все пароли пользователей и регулярно проводила тестирование безопасности своих облачных активов. Кроме того, компания Wegmans хранила контрольные суммы, полученные из номеров водительских прав клиентов, не имея разумной деловой цели хранить информацию о водительских правах в любой форме неограниченное время. Компания Wegmans также не вела долгосрочные журналы учета своих облачных активов, что затрудняло расследование инцидентов безопасности.

В результате сегодняшнего соглашения компания Wegmans должна выплатить Нью-Йорку 400 000 долларов в виде штрафов. Кроме того, компания Wegmans должна принять новые меры по защите личной информации потребителей в будущем, включая:

  • Поддержание комплексной программы информационной безопасности, включающей регулярное обновление с учетом изменений в технологиях и угроз безопасности, а также информирование руководства компании о рисках безопасности;
  • Поддержание надлежащей практики управления активами, включая ведение инвентаризации всех облачных активов;
  • Разработка политики и процедур для обеспечения того, чтобы все облачные активы, содержащие личную информацию, имели соответствующие средства контроля доступа для ограничения доступа к такой информации;
  • Разработка программы тестирования на проникновение, включающей как минимум один ежегодный комплексный тест на проникновение в облачную среду Wegmans;
  • Внедрение централизованной регистрации и мониторинга деятельности облачных активов, включая журналы, которые легко доступны в течение не менее 90 дней и хранятся не менее одного года с момента регистрации деятельности;
  • Установление соответствующих политик и процедур в отношении паролей для учетных записей клиентов, включая хэширование хранящихся паролей с помощью алгоритма хэширования и политики высаливания, соответствующей стандартам NIST, поощрение клиентов к использованию надежных паролей, информирование клиентов о преимуществах многофакторной аутентификации и запрет на повторное использование паролей;
  • Ведение разумной программы раскрытия уязвимостей, которая позволяет третьим сторонам, таким как исследователи безопасности, раскрывать уязвимости;
  • Установление соответствующей практики управления учетными записями клиентов и аутентификации, включая уведомление, вызов системы безопасности или повторную аутентификацию при изменении учетной записи; и,
  • Обновление практики сбора и хранения данных, включая сбор личной информации клиента только при наличии разумной деловой цели для сбора и удаление личной информации при отсутствии разумной деловой цели для сохранения такой информации - для информации, собранной до даты вступления в силу соглашения, Wegmans навсегда удалит всю личную информацию, для которой не существует разумной цели, в течение 240 дней после даты вступления в силу.

Этим вопросом занимались заместитель начальника бюро Кларк Рассел, помощник генерального прокурора Джина Джон и аналитик по вопросам интернета и технологий Джо Грэм из Бюро интернета и технологий под руководством начальника бюро Ким Бергер. Бюро Интернета и технологий входит в состав Отдела экономического правосудия, который возглавляет главный заместитель генерального прокурора Крис Д'Анджело и курирует первый заместитель генерального прокурора Дженнифер Леви.