Иски о нарушении данных Национальной инициативы по математике и науке

Иски о нарушении данных Национальной инициативы по математике и науке

7 февраля 2022 г. Национальная инициатива по математике и науке (NMSI) разослала уведомления 191,255 XNUMX людям, предупредив их об инциденте с безопасностью данных, в результате которого была раскрыта информация, позволяющая установить личность (PPI).

Прежде чем объяснить, что произошло, главный исполнительный директор NMSI Бернард А. Харрис-младший сначала заверил получателей, что нет никаких доказательств того, что какая-либо информация была использована не по назначению в связи с утечкой данных, и что организация отправляла уведомления из-за большой осторожности.

Согласно письму Харриса, 13 октября 2021 года антивирусное программное обеспечение NMSI предупредило организацию о «необычной» сетевой активности. Расследование этой деятельности показало, что неавторизованный субъект, возможно, получил доступ к определенным системам в период с 23 сентября 2021 г. по 18 октября 2021 г. Было установлено, что лица, получившие письма-уведомления, имели информацию о взломанных системах NMSI во время взлома. его проникновение. 

NMSI настраивал письмо каждого получателя, чтобы показать, к каким элементам данных мог получить доступ или получить неавторизованный субъект. Помимо имен, адресов и номеров социального страхования могли быть скомпрометированы.

В уведомлении не уточняется, являются ли пострадавшие учителями, студентами, подрядчиками или сотрудниками.

Как NMSI говорит, что имеет дело с утечкой данных

NMSI — это техасская некоммерческая организация, которая работает со школами и другими организациями, помогая улучшить успеваемость учащихся.

В уведомительном письме NMSI Харрис объяснил, что организация отреагировала на утечку данных, расследовав, оценив безопасность различных систем и предупредив лиц, чьи данные могут быть скомпрометированы.

По словам Харриса, организация также сбросила пароли учетных записей и проанализировала файлы и папки, к которым можно было получить доступ, чтобы проверить наличие какой-либо личной информации.

NMSI уведомил федеральные правоохранительные органы о нарушении и утверждает, что предпринял шаги для минимизации риска такого нарушения в будущем.

Слишком маленький, слишком поздно

Несмотря на любые меры после инцидента, которые NMSI предпринял или продолжает осуществлять, они просто слишком малы и слишком запоздали. Когда нарушение безопасности раскрывает PII, риск кражи личных данных значительно возрастает. Вредные последствия этой кражи напрямую связаны с тем фактом, что к тому времени, когда жертва узнает о преступлении (иногда годы), неправомерное использование ее личности уже негативно повлияло на ее кредитный рейтинг.  

Компания Управление по подотчетности правительства США сообщает, что преступники иногда хранят украденные данные в течение года или дольше, прежде чем использовать их для совершения кражи личных данных. После того, как данные проданы или использованы в Интернете, их мошенническое использование может продолжаться неопределенное время, часто в течение нескольких лет они продаются на «черном киберрынке».

Это затрудняет определение полного объема ущерба кредитной истории и финансовой репутации любого лица, чья личная информация была скомпрометирована в результате утечки данных. Возьмем, к примеру, случай, когда хакеры получили доступ к паролям пользователей LinkedIn в 2012 году. Прошло четыре года, прежде чем хакеры распространили украденные комбинации электронной почты и паролей.  

Вполне возможно, что лица, чья персональная информация была получена в результате утечки данных NMSI, столкнутся с аналогичной задержкой, что запутает преступление и его влияние на жертв. Как только дым рассеется, эти люди столкнутся с существенными неудобствами и затратами на восстановление своей поврежденной кредитной истории и запятнанных имен. Согласно с Experian, жертвы кражи личных данных тратят в среднем шесть месяцев и около 200 часов работы, чтобы восстановить свою личность. В сложных случаях, когда преступники берут кредиты, открывают финансовые счета, подают налоги и получают возмещение или используют украденные личные данные для получения медицинских услуг, процесс восстановления личных данных, прекращения мошенничества и возмещения ущерба может занять годы.

Между тем, это неприятное чувство, когда знаешь, что твоя личная информация задерживается в киберсфере, не зная, когда и как она будет использована, или степень страданий, которые причинит ее неправильное использование.  

Понимание кражи личных данных

Бюро судебной статистики Национальный опрос по виктимизации преступности определяет кражу личных данных как три основных типа инцидентов:

  1. Несанкционированное использование или попытка использования существующей учетной записи
  2. Несанкционированное использование или попытка использования личной информации для открытия новой учетной записи
  3. Неправомерное использование личной информации в мошеннических целях

По данным НКВС Дополнение о краже личных данных (ITS), девять процентов лиц в возрасте 16 лет и старше стали жертвами кражи личных данных в 2018 году, что представляет собой самый последний сбор данных об этом преступлении. Из этих лиц 90% столкнулись с неправомерным использованием или попыткой неправомерного использования по крайней мере одной кредитной карты или банковского счета. Общие убытки, охватывающие все случаи кражи личных данных в том году, составили 15.1 миллиарда долларов.

Преступники могут использовать полученную информацию, чтобы выдать себя за любого человека, чья PPI была получена. Согласно Отчет Федеральной торговой комиссии (FTC) за 2021 г., такие нарушения могут привести к краже личных данных, направленной на широкий спектр результатов.

источник: Федеральная торговая комиссия (ФТК)

Чтобы визуализировать растущую тенденцию и влияние кражи личных данных, FTC опубликовала следующее инфографики в январе 2020 года и обновили данные в феврале 2022 года. На графике представлены данные, взятые из отчетов потребителей от лиц, которые звонили в колл-центр FTC или сообщали о случаях кражи личных данных в Интернете:

Обзор Исследовательского центра кражи личных данных (ITRC)  годовой отчет об утечке данных показывает, что распространенность этого преступления продолжала усугубляться в 2021 году. ITRC сообщила, что в 2021 году было зафиксировано рекордное количество компрометаций данных — всего 1,862, что на 68% больше, чем в 2020 году. Это число также превышает предыдущий рекорд в 1,506 случаев на 23 процентов. Согласно отчету ITRC, такие утечки данных затронули 294 миллиона человек.

Что такое PII?

PII состоит из любой информации, которая может быть использована для установления личности человека. То Министерство труда США (DOL) перечисляет несколько типов информации, которые соответствуют этому определению. Некоторые формы PII напрямую идентифицируют человека. Они включают:

  1. Имя и фамилия
  2. Адрес
  3. Номер социального страхования
  4. Другие идентификационные номера или коды
  5. Номер телефона
  6. Адрес электронной почты

Другие формы PII включают информацию, которую агентство может использовать для идентификации человека в сочетании с другой информацией. Эти дескрипторы такие элементы данных, как:

  1. Гонки
  2. Пол
  3. Географический индикатор
  4. Дата рождения

DOL также включает в качестве PII любые электронные, бумажные или другие формы средств массовой информации, которые позволяют онлайн или физический контакт с человеком.

Почему PII так ценна

В течение многих лет ученые обращали внимание на растущую ценность PII. В 2009 году Richmond Journal of Law & Tech опубликовал статью, Тенденция корпоративной конфиденциальности: «стоимость» личной информации («PII») равна «стоимости» финансовых активов

Авторы отмечают, что растущая зависимость корпоративной Америки от электронного использования PII превратила эту информацию в «товар, которым компании торгуют и продают.

«PII, которые компании получают с небольшими затратами, имеет измеримую ценность, которая быстро достигает уровня, сравнимого со стоимостью традиционных финансовых активов», — заключили авторы статьи.

Бывший Федеральная торговая комиссия Комиссар («FTC») Памела Джонс Харбор назвала данные валютой, а большие наборы данных предлагают наибольший потенциал прибыли. По словам Харбора:

«К конфиденциальной информации, позволяющей установить личность потребителя, следует относиться так же, как банки относятся к наличным деньгам потребителя. Банки хранят наши деньги на сберегательных или расчетных счетах… но эти деньги наши… У нас есть определенные претензии и права ожидания в отношении денег, даже несмотря на то, что физически они не находятся в наших руках и ими «владеет» другое лицо».

Харбор также заметил, что потребители, как правило, не понимают огромных объемов и типов информации, которую собирают компании, и не понимают ценности этих данных.

Некоторые компании предоставляют клиентам возможность продавать свою PII рекламодателям и другим третьим сторонам. Эта новая прозрачность таких транзакций, в свою очередь, создала новый рынок для купли-продажи персональных данных.

Когда агентство кредитной информации Equifax был взломан в 2017 году, PC Magazine опубликовал статью, рассказывающую читателям о ценности их личности в Даркнете. Согласно статье, номера социального страхования, даты рождения и полные имена людей с высоким кредитным рейтингом могут стоить от 60 до 80 долларов на цифровом черном рынке. Совсем недавно исследования, проведенные Детективы по безопасности Команда кибербезопасности выявил ценность различных типов информации, используемых при создании новой личности:

  1. Заграничный пасспорт: От $ 710
  2. удостоверение личности/водительское удостоверение: От $ 200
  3. Номер социального страхования/карта: $ 2- $ 5
  4. Свидетельство о рождении: От $ 240

С появлением такой криптовалюты, как биткойн, покупки невозможно отследить, что делает ее излюбленной валютой для преступников, участвующих в этих транзакциях.

Несмотря на то, PC Magazine Авторы статьи признали, что источник украденных данных не всегда был точным, аналитик разведки сообщил журналистам, что информация обычно поступает в результате компьютерных хакерских атак, а школы и больницы являются излюбленными источниками киберпреступников из-за объема идентификационной информации этих типов организаций. собирать.

Обращение в суд и результаты

Хотя федеральные прокуроры работают над расследованием дел о краже личных данных и мошенничестве с помощью федеральных следственных органов ( Федеральное бюро расследований, Секретная служба США, А Почтовая инспекционная служба США, например), потерпевшие иногда могут возместить свои финансовые потери посредством гражданских исков.  

Эти действия часто принимают форму коллективного иска, в котором лица, чья персональная информация была получена и использована не по назначению, добиваются возмещения убытков от лица, в котором были размещены личные данные.

В случае группового иска NMSI юристы истцов могут утверждать, что персональные данные истцов были раскрыты и подверглись неправомерному использованию в результате неспособности NMSI внедрить и поддерживать разумные процедуры и методы обеспечения безопасности, соответствующие характеру информации для защиты информации истца. и PII членов класса. Юристы также могут утверждать, что NMSI не смогла внедрить разумные процедуры безопасности, чтобы предотвратить атаку на свои серверы хакерами и предотвратить несанкционированный доступ к PII истца и членов класса в результате этой атаки.

В таком иске жертвы кражи личных данных в результате утечки данных NSMI могут требовать возмещения фактического ущерба, судебного запрета, в том числе публичного судебного запрета, декларативного судебного запрета и других средств судебной защиты, которые суд сочтет уместными.

Что делать, если нарушение NSMI раскрыло ваши данные

Когда ваша PII раскрывается из-за утечки данных, это подвергает вас значительному риску кражи личных данных, что может нанести ущерб вашему кредиту и вашему имени и потребовать больших усилий для восстановления.

Если NMSI или какая-либо другая организация отправили вам письмо с уведомлением о том, что их система была взломана и ваша личная информация раскрыта, рассмотрите возможность участия в коллективном иске.

Почему выбирают нашу юридическую фирму

Наша юридическая фирма существует уже более 65 лет и признана одной из выдающихся юридических фирм в Соединенных Штатах. Основываясь на вердиктах юридических фирм и урегулировании споров на сумму более 30 миллиардов долларов, наши юристы по коллективным искам обязуются добиваться справедливости для жертв утечки данных.

Мы основатель Mass Torts Made Perfect. Это национальная конференция, в которой ежегодно принимают участие юристы 1,500, на которых мы учим, как успешно рассматривать судебные процессы против крупнейших компаний мира. Для получения дополнительной информации, пожалуйста, посетите наш О Нас .

в бизнесе 65 лет * $ 30 Billion в приговорах и расчетах * Лучшие юридические фирмы: Новости США и мировые отчеты * Зал славы судебных процессов * SuperLawyers
 
Наши сборы и расходы

Наши юристы предоставляют бесплатные конфиденциальные оценки случаев, и мы никогда не взимаем какие-либо сборы или расходы, если вы сначала не выздоравливаете.

Плата за непредвиденные расходы, которую мы взимаем, варьируется от 20% до 40%. Сумма, которую мы взимаем, зависит от того, насколько мы выздоравливаем за вас. Чтобы просмотреть сводку наших сборов и расходов, нажмите Сборы и расходы.

 
Бесплатная оценка случая

Чтобы связаться с нами для бесплатно конфиденциальные консультацииВы можете позвонить нам по (800) 277-1193, Вы также можете запросить бесплатную частную и конфиденциальную оценку, нажав Free & Confidential Consult. Ваш запрос будет немедленно рассмотрен одним из наших юристов, который занимается коллективными исками.