Компания согласилась заплатить компенсацию в рамках сделки по урегулированию коллективного судебного иска.

Калифорнийская технологическая компания Accellion согласилась выплатить $8,1 млн в рамках сделки по урегулированию судебного иска, поданного против нее в связи с утечкой данных в декабре 2020 года.

Коллективный иск был подан от имени жертв, чья персональная информация оказалась скомпрометирована хакерами во время атаки через уязвимость нулевого дня в решении для обмена файлами Accellion FTA.

Accellion использовала FTA более 20 лет для безопасного обмена файлами, слишком большими или чувствительными для пересылки по электронной почте. Еще до кибератаки Accellion активно отказывалась от FTA и призывала своих клиентов перейти на новое решение для обмена файлами Kiteworks.

За четыре месяца до окончания срока поддержки устаревшего ПО, назначенного на 30 апреля 2021 года, оно было атаковано двумя киберпреступными группами – финансово мотивированной FIN11 и вымогателями CLOP.

Злоумышленники проэксплуатировали неисправленные уязвимости в FTA и получили доступ к файлам клиентов Accellion, из которых извлекли большие массивы данных (имена, контактную информацию, даты рождения, номера социального страхования, номера водительских удостоверений и данные о здоровье).

Утечка затронула множество клиентов Accellion, в том числе нефтегазового гиганта Shell , Калифорнийский университет, медицинскую школу Стэнфордского университета, канадскую машиностроительную компанию Bombardier , американскую железнодорожную компанию CSX Corporation и пр.

Accellion выявила использовавшиеся в атаках уязвимости в середине декабря 2020 года и выпустила исправления.

Согласно коллективному иску, Accellion не реализовала и не обеспечила выполнение надлежащих практик безопасности данных своих клиентов и своевременно не выявила уязвимости в FTA. Истцы также обвинили компанию в том, что она не раскрыла неадекватность своих практик безопасности.

Судя по материалам суда, Accellion не считает себя ответственной за взлом и отрицает все обвинения в свою сторону. Компания предложила урегулировать спор и выплатить истцам $8,1 млн.

Источник: securitylab