Um engenheiro de software da AWS foi o responsável pelo ataque, que expôs informações, incluindo detalhes de contas bancárias. “Embora a Capital One e a AWS tenham negado qualquer responsabilidade, para evitar o tempo, as despesas e a incerteza de novos litígios, os demandantes e a Capital One emitiram um termo de compromisso contendo os principais termos do acordo coletivo que, se aprovado por este tribunal, resolverá totalmente todas as reivindicações apresentadas pelos demandantes”, diz o Tribunal Distrital dos EUA para o Distrito Leste da Virgínia. Num comunicado enviado por email, a Capital One disse que os principais factos do caso não mudaram desde que anunciou o evento em cooperação com as autoridades federais há mais de dois anos, quando o hacker foi preso e as informações roubadas foram recuperadas antes de serem distribuídas ou utilizadas. . fins fraudulentos. “Estamos satisfeitos por termos chegado a um acordo que resolverá a ação coletiva do consumidor nos EUA”, acrescentou a empresa.
15. Uber: US$ 148 milhões
Em 2016, o aplicativo Uber teve 600 mil motoristas e 57 milhões de contas de usuários violadas. Em vez de relatar o incidente, a empresa pagou ao perpetrador US$ 100.000 para encobrir o hack. No entanto, essas ações custaram caro à empresa. A empresa foi multada em US$ 148 milhões em 2018 – a maior multa por violação de dados da história na época – por violar as leis de notificação de violação de dados do país.
16. Morgan Stanley: US$ 120 milhões (valor)
Em janeiro de 2022, o banco de investimento e gigante de serviços financeiros Morgan Stanley concordou em pagar US$ 60 milhões para resolver uma ação judicial relacionada à segurança de dados. O acordo, se aprovado por um juiz federal em Manhattan, resolverá um processo movido contra a empresa em julho de 2020 devido a duas violações de segurança que comprometeram as informações pessoais de quase 15 milhões de clientes. De acordo com os demandantes, o Morgan Stanley não protegeu as informações de identificação pessoal (PII) de clientes atuais e antigos. Alega-se que o equipamento do data center que a empresa aposentou em 2016 e 2019 não foi devidamente apagado e uma falha de software fez com que dados confidenciais e não criptografados ficassem visíveis para qualquer pessoa que comprasse o equipamento.
O acordo proposto para o processo ocorre mais de um ano depois que o Morgan Stanley foi multado em US$ 60 milhões pelo Gabinete do Controlador da Moeda (OCC) em conexão com incidentes semelhantes. O OCC disse que o Morgan Stanley não conseguiu “gerir adequadamente a implementação de centros de dados empresariais de gestão de fortunas localizados nos EUA em 2016. Entre outras coisas, os bancos não conseguiram avaliar ou abordar eficazmente os riscos associados à retirada do seu hardware; não avaliou adequadamente os riscos de subcontratação da atividade de cancelamento, incluindo o exercício da devida diligência na seleção do fornecedor e no monitoramento do seu desempenho; e não conseguiu manter um inventário adequado de dados de clientes armazenados em dispositivos de hardware obsoletos.” Em 2019, os bancos enfrentaram deficiências semelhantes nos controlos de gestão comercial relativos à retirada de outros dispositivos de rede que também armazenam dados de clientes, acrescentou o OCC.
