NEW YORK - Le procureur général de New York, Letitia James, a annoncé aujourd'hui un accord de 600 000 $ avec Eyemed qui résout une violation de données de 2020 qui a compromis les informations personnelles d'environ 2,1 millions de consommateurs à l'échelle nationale, dont 98 632 dans l'État de New York.Eyemed - qui offre des avantages de vision aux membres des plans de vision offerts par les souscripteurs et les employeurs agréés - a connu une violation de données dans laquelle les attaquants ont eu accès à un compte de messagerie yeux avec des informations clients sensibles.Les informations compromises comprenaient les noms des consommateurs, les adresses postales, les numéros de sécurité sociale, les numéros d’identification pour les comptes d’assurance de santé et de vision, les diagnostics et conditions médicaux et les informations sur le traitement médical.L'intrusion a permis à l'attaquant l'accès aux e-mails et aux pièces jointes avec des informations clients sensibles datant de six ans avant l'attaque.
«Les New-Yorkais devraient avoir toutes les assurances que leurs informations de santé personnelles resteront privées et protégées», a déclaré le procureur général James.«Les yeux ont trahis cette confiance en ne gardant pas un œil sur son propre système de sécurité, ce qui a à son tour compromis les informations personnelles de millions de personnes.Laissez cet accord signaler notre engagement continu envers les sociétés qui portent des comptes et s'assurer qu'elles recherchent le meilleur intérêt des New-Yorkais.Mon bureau continue de surveiller activement l'État pour toute violation potentielle, et nous continuerons de faire tout ce qui est en notre pouvoir pour protéger les New-Yorkais et leurs informations personnelles. »
Contexte de l'attaque
En juin 2020, les attaquants ont eu accès à un compte de messagerie Eymed, qui a été utilisé par les clients Eyemed pour fournir des données de consommation sensibles en relation avec l'inscription et la couverture des avantages sociaux.L'intrusion, qui a duré environ une semaine, a accordé à l'attaquant la possibilité de voir les e-mails et les pièces jointes datant de six ans, y compris les noms des consommateurs, les adresses, les numéros de sécurité sociale et les numéros de compte d'assurance.
En juillet 2020, l'attaquant a envoyé environ 2 000 e-mails de phishing du compte de messagerie compromis aux clients Eyemed, à la recherche d'identification de connexion pour leurs comptes.Le service informatique d'EyeMed a remarqué les e-mails de phishing et a également reçu des demandes de renseignements de clients sur ces e-mails.Eyemed a ensuite bloqué l'accès de l'attaquant à son système et a commencé à étudier l'intrusion.
En septembre 2020, l'entreprise a commencé à informer les consommateurs touchés dont les informations personnelles ont été compromises pendant la violation.Avec la notification, la société a offert aux clients affectés des services de protection contre le vol d'identité.Le bureau du procureur général a déterminé qu'au moment de l'attaque, eyemed n'avait pas mis en œuvre l'authentification multifactorielle (MFA) pour le compte de messagerie affecté, malgré le fait que le compte était accessible via un navigateur Web et contenait un grand volume de volume deInformations personnelles sensibles des consommateurs.De plus, EyeMed n'a pas réussi à implémenter adéquatement les exigences de gestion des mots de passe suffisantes pour le compte de messagerie d'inscription étant donné qu'il était accessible via un navigateur Web et contenait un grand volume d'informations personnelles sensibles.L'entreprise n'a pas non plus réussi à maintenir une journalisation adéquate de ses comptes de messagerie, ce qui a rendu difficile d'enquêter sur les incidents de sécurité.
Au total, la violation a affecté environ 2,1 millions de résidents américains, dont 98 632 à New York.
Conditions de l'accord
Dans le cadre de l'accord, EyeMed est tenu de promulguer une série de mesures pour protéger les informations personnelles des consommateurs des cyberattaques à l'avenir, notamment:
· Maintenir un programme complet de sécurité de l'information qui comprend des mises à jour régulières pour suivre le rythme des changements technologiques et des menaces de sécurité, ainsi que de relever régulièrement les risques de leadership de l'entreprise;
· Maintenir une gestion et une authentification des comptes raisonnables, y compris l'exigence de l'utilisation de l'authentification multi-facteurs pour tous les comptes d'accès administratifs ou distants, et de l'examen de ces garanties chaque année;
· Encryportant des informations sensibles aux consommateurs qu'elle recueille, stocke, transmet et / ou maintient;
· Effectuer un programme de test de pénétration raisonnable conçu pour identifier, évaluer et résoudre les vulnérabilités de sécurité au sein du réseau Eymed;
· Implémentation et maintien de l'exploitation forestière et surveillance appropriées de l'activité du réseau accessibles pendant une période d'au moins 90 jours et stockées pendant au moins un an à compter de la date à laquelle l'activité a été enregistrée;et
· Suppression de façon permanente des informations personnelles des consommateurs lorsqu'il n'y a pas de business ou juridique raisonnable pour le conserver.
Eyemed a également accepté de payer 600 000 $ de pénalités de l'État de New York.
Cette question a été traitée par le procureur général adjoint Noah Stein et le chef adjoint du bureau Clark Russell, avec une assistance spéciale de l'analyste Internet et de la technologie Joe Graham, du Bureau of Internet and Technology, sous la supervision du chef du bureau Kim Berger.Le Bureau d'Internet et de la technologie fait partie de la Division de la justice économique, dirigée par le procureur général adjoint Chris D’Angelo et supervisé par le premier procureur général adjoint Jennifer Levy.