一项诉讼指控三星未能在 2022 年初解决网络入侵问题,导致美国客户的个人身份信息 (PII) 在几个月后的 7 月的第二次攻击中被盗。
该诉讼[PDF] 本月在加利福尼亚北部的一家联邦地方法院提起,寻求集体诉讼地位,指控三星不必要地从其客户那里收集 PII,并且如上述7 月的网络抢劫所示,未能充分保护其数据收集。
该诉讼称,该客户数据被盗,其中包括三星一半以上美国用户群的个人记录,源于 2 月份针对这家韩国科技巨头美国分公司的网络攻击。在这种情况下,臭名昭著的网络勒索团伙Lapsus$从 Sammy 窃取并泄露了近 200GB 的内部文件和文件。
虽然发布的材料中没有包含客户 PII,但三星的安全管理框架 Knox、其引导加载程序以及在线帐户创建和身份验证等的源代码均被采用。该诉讼称,三星在泄露事件后未能支持其系统,直接导致了 7 月份的一次入侵,其中个人数据被不法分子从财阀的服务器中获取。
该诉讼称,三星“意识到可以访问被盗源代码和身份验证相关信息(以及其他机密数据)的欺诈者和犯罪分子可能会侵入被告薄弱的系统”。
本月早些时候,三星承认其网络在 7 月前几周被渗透,数据被盗。我们已要求 biz 发表评论,但尚未收到回复。
没有理由拥有所有 PII
该诉讼可能是由三星的一对安全问题引发的,尽管该案的核心焦点在于这家巨头不必要地要求客户注册在线三星账户并提供 PII 以解锁其设备的基本功能
无论是智能手机、手表、电视、打印机还是其他硬件,该诉讼称驱动程序、更新和其他对设备操作至关重要的功能都被锁定在客户注册之后。
“因此,消费者被迫注册账户,”诉讼称。它声称三星收集的数据包括姓名、出生日期、地址、地理位置数据、电子邮件、电话号码和设备信息。
该诉讼辩称,没有必要收集这些数据。相反,三星抓住它来“增加利润,收集有关其客户的信息,并能够跟踪他们的客户和他们的行为”。
该诉讼称,根据三星的营销和数据隐私政策,客户有合理的期望,即使他们交出不必要的数据,三星也会保护这些数据。
根据法院文件,客户“依赖于 [三星] 在数据安全方面的统一陈述和遗漏,包括未能提醒客户其安全保护不足,以及 [三星] 将永远存储原告和客户的 PII ,未能对其进行归档、保护或至少警告消费者预期和可预见的数据泄露。”
该诉讼称,三星违反了多个密歇根州和加利福尼亚州(两名原告居住的地方)消费者保护和竞争法。此外,诉讼还指控三星通过隐瞒方式欺骗客户,故意歪曲其产品,并违反明示和暗示的保证。
原告预计至少有 5,000,000 美元的损失和费用,并要求三星接受外部审计和渗透测试,更好地培训其员工抵御网络攻击和社会工程,并要求其销毁属于集体成员的数据。
三星将在两周后于 10 月 11 日对投诉作出回应。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 三星因贪污过多个人信息而被不法分子窃取而被起诉