根据消费者事务公开披露通知,去年南卡罗来纳州的一家信用合作社被一个名为“Nitrogen”的组织入侵时,超过 24万人的机密个人数据可能被盗。
南卡罗来纳州联邦地区法院还提起了 10 起针对 SRP 联邦信用合作社的诉讼,指控该信用合作社本应安全的数字记录保存系统存在重大违规行为。
SRP 联邦信用合作社于 12 月向缅因州总检察长办公室提交的公开消费者违规通知声明中提供了黑客攻击的正式通知。德克萨斯州总检察长办公室的另一份通知称,有 750 名德克萨斯人受到影响。
截至 1 月 2 日,南卡罗来纳州消费者事务部尚未列出 SRP 联邦信用合作社网络漏洞。
这些诉讼旨在成为针对信用合作社的集体诉讼,指控黑客获得了众多信用合作社成员的敏感个人信息。诉讼称,这些信息包括驾驶执照号码、出生日期、社会安全号码和金融账户信息。
诉讼称,客户现在面临身份盗用和欺诈的危险。
诉讼称,违规行为发生在 9 月 5 日至 11 月 4 日之间,在此期间未被发现。诉讼称,该信用合作社的客户直到 12 月 12 日才收到违规通知。 信用合作社于 12 月 12 日发出的通知信警告客户,他们的数据可能已被盗。
信中还表示,信用合作社已采取措施“降低未来发生此类事件的风险”。该信用合作社还提供为期一年的身份保护服务免费会员资格。 根据最近的一份信用合作社年度报告,SRP 联邦信用合作社拥有 16 亿美元的资产和超过 18万名会员。它拥有大约 400 名全职和兼职员工。
据《奥古斯塔纪事报》2008年的一篇报道,该信用社成立于1960年,以萨凡纳河工厂(现在的萨凡纳河遗址)命名,该工厂是艾肯县的一个核武器综合设施。该公司的座右铭是“好事发生在SRP。”年度报告称。
信用合作社客户诺曼·布莱克 (Norman Black) 于 12 月 20 日提起的诉讼称,“网络犯罪分子之所以能够破坏被告的系统,是因为被告未能对其员工进行充分培训”并采取其他措施来保护客户数据,“使其成为网络犯罪分子的容易目标”。
布莱克的诉讼称,SRP Federal Credit Union 拒绝告诉客户确切有多少人受到影响,违规行为是如何发生的,以及为什么信用合作社延迟“通知受害者网络犯罪分子已经获得了他们高度私密的信息”。
据称的罪魁祸首“Nitrogen Ransomware Group 是一个非常臭名昭著的勒索软件行为者,仅在今年就犯下了多起备受瞩目的违规行为。
布莱克的诉讼称,SRP 联邦信用合作社应该知道保护自己免受此类窃贼的侵害。
布莱克的诉讼称,在犯罪黑市上被盗的个人信息“价值高达 1,000 美元”。
布莱克的诉讼称,被盗的个人信息多年来一直在互联网黑市上交易,犯罪分子经常在各种“暗网”互联网网站上公开直接发布被盗的私人信息,使信息公开,收取高额费用。
社会安全号码是黑客特别有吸引力的目标,因为它们很容易被用来实施身份盗窃和其他高利润类型的欺诈。此外,布莱克的诉讼称,社会安全号码很难更换,因为受害者在损害发生之前无法获得新号码。
客户文森特·塞拉托(Vincent Cerrato)提起的另一起诉讼称,个人数据“可能使犯罪分子能够犯下广泛的金融犯罪。犯罪分子可以交易和货币化个人身份信息(信用合作社)暴露的信息,以开设新的金融账户、申请贷款、获得医疗服务、获得政府福利、提交欺诈性纳税申报表、获得带有自己照片的驾驶执照……并在逮捕期间向警方提供虚假信息。
诉讼称,原告要求获得未指明的实际和惩罚性赔偿。
塞拉托的诉讼称,他还希望信用合作社任命“一名独立的、合格的网络审计师来监控(信用合作社的)网络警戒,所有这些都由信用合作社资助”。
身份盗窃的风险以及其他各种形式的个人、社会和经济损害……将在他们各自的有生之年保留。”顾客克里斯托弗·卡明斯(Christopher Cummings)提起的另一项诉讼称。
“通过数据泄露,未经授权的网络犯罪分子访问了至少 24万人的高度敏感的私人信息缓存,包括姓名、社会安全号码、驾驶执照号码、出生日期和财务信息,包括账号和信用卡或借记卡号码。”卡明斯诉讼称。
跟踪网络安全问题的出版物 The Record 首先报道了这一漏洞。
该案已分配给美国地区法官 Cameron McGowan Currie审理。
来源: https://www.thestate.com/news/local/crime/article297657673.html#storylink=cpy
