事件概述

纽约总检察长莱蒂西亚·詹姆斯宣布与公共会计公司Wojeski & Company达成和解，要求其加强数据安全措施以保护消费者数据。调查发现，Wojeski未能采取适当措施保护客户个人信息，遭遇两起网络安全事件，导致超过4700名纽约居民的私人信息泄露。

安全事件详情

• 勒索软件攻击：2023年7月28日，Wojeski员工发现系统文件无法访问，确认为勒索软件攻击。调查显示攻击可能源于发送给员工的钓鱼邮件，且客户社会安全号码在公司网络部分区域未加密。
• 内部违规：2024年5月31日，协助调查的外部公司员工不当访问了Wojeski发送审查的客户数据，员工还未经授权将信息发送至多个外部邮箱。

违规后果

Wojeski直到2024年11月才通知客户安全事件，距离首次数据泄露已过去一年半。泄露的个人数据包括：

• 姓名、出生日期
• 社会安全号码、驾照号码
• 邮箱地址、电话号码
• 金融账户号码、医疗福利信息

2023年事件影响5881人（4726名纽约居民），2024年事件影响351人（267名纽约居民）。

和解条款

Wojeski必须：

• 支付6万美元罚款
• 实施全面信息安全计划
• 加密收集、存储、传输的个人信息
• 建立数据存储清单
• 加强账户管理和身份验证流程
• 建立安全漏洞识别与修复程序
• 制定事件响应计划确保及时通知
• 实施全员网络安全培训计划

受影响个人获赠一年免费信用报告监控服务。

来源：纽约总检察长莱蒂西亚·詹姆斯办公室