Accellion 达成 810 万美元的数据泄露和解协议

加利福尼亚科技公司 Accellion Inc 已 达成 810 万美元的和解协议，以解决与 2020 年 12 月数据泄露有关的法律索赔。

集体诉讼是代表在 Accellion 的文件传输设备 (FTA) 遭受网络攻击期间个人信息暴露的受害者提起的。

20 多年来，Accellion 一直在使用 FTA 来安全地共享被认为太敏感或太大而无法通过电子邮件发送的文件。在网络攻击发生之前，Accellion 积极淘汰 FTA，并鼓励其客户使用新开发的名为 Kiteworks 的文件传输解决方案。 

在传统文件传输解决方案将于 2021 年 4 月 30 日退役的四个月前，它遭到了与 FIN11 和 CLOP 勒索软件团伙相关的两个高级持续威胁 (APT) 组织的攻击。

通过利用 FTA 中未修补的漏洞，攻击者能够访问 Accellion 客户端的文件，并从中窃取大量数据。

事件中可能泄露和被盗的敏感数据包括姓名、联系信息、出生日期、社会安全号码、驾驶执照号码和医疗保健数据。

许多 Accellion 客户都受到了违规行为的影响，包括壳牌、加利​​福尼亚大学、斯坦福大学医学院、 庞巴迪、 迈阿密大学健康、Trillium、社区健康计划和 克罗格。

Accellion 在 2020 年 12 月中旬发现了产品中的一个零日漏洞，并发布了一个补丁来解决该漏洞。到 2021 年 2 月， 与该平台相关的另外四个漏洞被披露并发布了 CVE。

集体诉讼指控 Accellion 未能实施和维护适当的数据安全措施来保护其客户的敏感数据，并且未能检测到其 FTA 安全性中的漏洞。原告还声称，Accellion 未能披露其安全实践的不足之处。

根据提交给加州联邦法院的文件，Accellion 对违规行为不承担任何责任，并否认了所有指控。这家科技公司提出了一项和解方案，其中包括 810 万美元，用于支付 Accellion FTA 用户的索赔、通知和管理费用。