事件概述

纽约总检察长利蒂西亚·詹姆斯宣布与公共会计师事务所Wojeski & Company达成和解，要求该公司加强数据安全措施以保护消费者数据。Wojeski未能采取适当措施保护客户个人信息，遭遇两起网络安全事件，导致4700多名纽约居民的私人信息泄露。

事件时间线

• 2023年7月28日：Wojeski员工发现系统遭遇勒索软件攻击，无法访问特定文件
• 调查发现：网络攻击可能由发送给员工的钓鱼邮件引起
• 安全漏洞：客户社会安全号码在公司网络部分区域未加密
• 2024年5月31日：协助调查的公司员工不当访问了Wojeski发送审查的文件中的客户数据
• 2024年11月：Wojeski才通知客户安全漏洞，距离首次数据泄露已过去一年半

泄露数据详情

在两起安全事件中暴露的个人数据包括：

• 姓名、出生日期
• 社会安全号码
• 驾照号码
• 电子邮件地址、电话号码
• 金融账户号码
• 医疗福利和权益信息

影响范围

• 2023年数据泄露：影响5,881人，其中4,726人为纽约居民
• 2024年数据泄露：影响351人，其中267人为纽约居民

和解协议要求

Wojeski必须支付6万美元罚款，并采取以下措施加强网络安全：

1. 维护全面的信息安全计划，保护客户信息的安全性、完整性和机密性
2. 对公司收集、存储、传输和/或维护的个人信息进行加密
3. 建立和维护网络内个人数据存储位置的清单
4. 维护合理的账户管理和身份验证流程，限制员工对敏感信息的访问
5. 建立识别和纠正计算机网络安全漏洞的计划
6. 制定事件响应计划，确保及时通知消费者
7. 实施所有员工必须完成的网络安全培训计划

补救措施

受数据泄露影响的个人获得了一年免费信用报告监控服务。

来源：纽约总检察长利蒂西亚·詹姆斯办公室