6TB数据泄露后前雇员起诉Citrix疏忽
在今年早些时候披露的破坏性黑客行为中,一名前Citrix员工已向虚拟化公司提起集体诉讼,因为该公司未能保护现有和前任员工的个人信息。
在去年渗透公司的系统并持续长达六个月之后,攻击者取消了员工及其家属的个人和财务细节。被盗数据总量约为6TB,包括电子邮件,蓝图和其他商业文件。
但据佛罗里达州提交的法庭文件显示,由于Citrix自己的行为和疏忽,以及未能妥善保护其员工的个人信息,犯罪分子只能妥协这些数据。
前雇员林赛·霍华德(Lindsey Howard)声称进入的方法,即密码喷涂,是一种众所周知且可预防的入侵策略。此外,如果公司采用“行业标准安全协议”,这种漏洞本身很容易被阻止。
该公司的失败还包括在黑客从其网络中删除数据时未发现近5个月的漏洞。
“Citrix的数据安全性存在诸多问题,以至于黑客入侵数月仍然未被发现,而且只有在被FBI通知时才向Citrix透露。该诉讼称,“数据泄露是Citrix在数据安全方面不充分的方法以及在业务过程中收集的员工个人信息保护的必然结果。”
“思杰无意中,故意,鲁莽或疏忽地无法采取足够和合理的措施来确保其数据系统受到保护,从而无视原告和集体成员的权利。”
霍华德在2006年初至2018年5月间担任该公司的各种职务,正在寻求赔偿因违规行为造成的“经济损失和其他实际损害”。这包括潜在的身份盗用,隐私减少以及欺诈活动后信用查询的信用评分降低。
Citrix的首席数字风险官Peter Lefkowitz上个月告诉IT专业人员,该公司从违规中吸取了教训,并将审查密码管理程序。
“当然,发生的事件,如果有的话,让我们更专注于这个话题,让我们更深入地看待我们所做的一切,”Lefkowitz在佐治亚州亚特兰大举办的年度Synergy会议上说。
“我认为这将是一个非常重要的发展领域和一个实验领域。我们希望能够到达一个我们不必依赖密码的地方。
“但是在我们到达那里之前,我们将不得不采取分层方法。我们将不得不做密码并检查弱密码,检查烧焦密码,以及多因素,各种各样的多因素,记录和监控,以及内部控制。“
Forrester和安全专家Paul McKay的高级分析师告诉IT专业公司应该期待看到更多的法律诉讼,因为大量的新数据保护法已经在欧洲和美国的某些州生效。
“我们在英国看到了类似的例子,”麦凯说。“员工将一家零售超市Morrisons带到高等法院,并设法为员工赢得赔偿,因为他们被认为没有履行保护和维护员工信息安全的职责。
“最近在美国发生的许多违规行为都引发了集体诉讼,例如最近的Equifax违规行为,目前正在通过法律程序。
“虽然这些发展表明公司有责任通过法律程序追究责任并追讨潜在的损害赔偿,但在Citrix案件中,员工已经这样做仍然很有意思,因为这样做会给自己带来潜在的风险。 “
McKay补充说,他希望在美国未来遭遇破坏之后,基于消费者的行动将成为几乎标准的行动方案。然而,相比之下,基于员工的行动相对较少。
IT Pro向Citrix提交了有关法律诉讼的声明,但在撰写本文时未收到回复。