关注我们
带你读懂网络安全
来爱德公司达成一项近5000万元的和解协议,以解决2024年6月发现的一起网络攻击事件引发的集体诉讼;
据悉,RansomHub勒索软件团伙窃取了公司业务系统约一年的客户商务数据,包括姓名、地址、出生日期、驾照号码、购买商品等信息,大约220万名客户受到影响。
前情回顾·网络安全事故赔偿
安全内参3月11日消息,美国大型连锁药房来爱德(Rite Aid)已达成一项680万美元(约合人民币4928万元)的和解协议,以解决一起数据泄露集体诉讼。
这家总部位于费城的零售巨头承诺,每位受害者最高可获赔1万美元(需提供相关损失证明),同时加强其网络安全防护措施。按照诉讼和解的惯例,该协议已获得联邦法官的临时批准,且来爱德无需承认存在任何不当行为。
作为美国第三大连锁药房,来爱德在全美15个州拥有1300家门店,并雇佣3.1万名员工,其中包括4000名药剂师。该公司于2023年10月根据《美国破产法》第11章申请破产,并在2024年9月完成财务重组,正式成为一家私人公司。
员工身份被冒用致使业务系统数据泄露
此次数据泄露诉讼是在美国宾夕法尼亚州东区联邦地区法院提起的,源于来爱德在2024年6月6日发布的一份公告。公告显示,一名攻击者“冒充公司员工,利用其业务凭据成功访问了部分业务系统。”
来爱德表示,公司在“12小时内检测到此次入侵,并立即展开调查,以阻止未经授权的访问、修复受影响的系统,并确认客户数据是否遭到泄露。”
几周后,公司证实,攻击者窃取了2017年6月6日至2018年7月30日期间,客户购买或尝试购买商品的相关信息。被泄露的数据包括客户姓名、地址、出生日期和驾照号码。
此次数据泄露事件最早由勒索软件组织RansomHub披露,他们在数据泄露网站上发布了一部分据称被盗的数据。根据媒体报道,这些犯罪分子声称他们窃取了约10GB的客户信息,其中包括姓名、地址及来爱德积分卡号。
和解协议将如何实施?
根据和解协议,680万美元将用于设立和解基金,并将被完全用于赔偿相关受害者。
此外,来爱德将开设一个专门的网站,提供关于数据泄露事件的更多详情,并尽力直接通知所有受影响的客户。
受影响个人可提交索赔申请,要求最高1万美元的损失赔偿。法院文件明确指出:“索赔人必须提供充分证据,证明其损失更可能是由此次数据泄露所导致的。”
此外,个人也可以选择按照和解协议设定的公式,申请“按比例分配的现金赔偿。”总体而言,在和解基金支付行政管理费用、最高240万美元的合理律师费、税款,以及四名集体诉讼代表每人3500美元的补偿后,剩余金额将由其他索赔人共享。
美国居民如希望提交索赔表,必须在7月7日之前完成申请,可通过在线提交或邮寄方式办理,邮寄信封的邮戳日期不得晚于该日期。
如果在所有和解索赔分配完毕后的120天内,基金仍有剩余资金,这些资金将捐赠给宾夕法尼亚州律师信托账户委员会。该委员会通过向法律服务机构、公益法律项目和法学院提供拨款,支持民事法律援助工作。
参考资料:govinfosecurity.com
点击下方卡片关注我们,
带你一起读懂网络安全 ↓
?发表于:中国 北京
