Orrick, Herrington & Sutcliffe 是一家以其在管理数据泄露方面的专业知识而闻名的全球知名律师事务所,不幸的是,它成为了网络攻击的受害者,未能保护自己及其客户免受看不见的黑客攻击。这次网络攻击发生在去年初,暴露了受数据泄露影响的数十万人的敏感健康信息。
这家总部位于旧金山的律师事务所上周证实,黑客在 2023 年 3 月的一次入侵中,成功从其网络上的文件共享中窃取了超过 60 万名数据泄露受害者的个人信息和敏感健康数据。
此次泄露涉及未经授权访问易受攻击的文件共享,从而泄露了 637,620 名个人的个人信息,其中包括客户、员工以及与之前的数据泄露诉讼有关的人员。这一事件以其讽刺性的转折而闻名,不仅泄露了个人数据,还引发了人们对奥睿安全实践和整体网络安全格局的严重担忧。
奥睿通常为面临数据泄露等安全事件的公司提供帮助,该公司在向受影响个人发送的一系列通知信中承认了这一泄露事件。黑客从奥睿的系统中窃取了与奥睿提供法律咨询的其他公司的安全事件相关的大量数据。
事件发生后,奥睿做出了迅速而全面的反应,包括向受影响的个人和相关监管机构发出通知、进行内部调查以及实施额外的安全措施。该公司还面临诉讼和公众监督,客户质疑他们选择的数据监护人的有效性。
Orrick 透露,泄露的数据包括来自 EyeMed Vision Care 的视力计划、Delta Dental 的牙科计划的客户的信息,以及来自健康保险公司 MultiPlan、行为健康巨头 Beacon Health Options(现称为 Carelon)和美国小企业管理局。被盗数据包括姓名、出生日期、地址、电子邮件地址、政府颁发的身份证号码、医疗详细信息、保险索赔信息、医疗保险号码、提供者详细信息、在线帐户凭据以及信用卡或借记卡号。
影响是巨大的,对奥睿的声誉造成损害,导致业务损失,并面临指控疏忽和数据安全措施不足的诉讼。为此,奥睿在网络安全工具和人员方面投入了大量资金,实施了更严格的数据访问控制,并加强了员工培训。该公司还与受影响的个人和监管机构进行持续沟通,提供调查最新情况并提供补救服务。
奥睿数据泄露事件是一个警示故事,强调了网络攻击的持续威胁以及即使是资源充足的组织也存在的脆弱性。它强调了此类事件发生后强有力的网络安全实践、持续警惕和清晰沟通的重要性。此外,它还引发了人们对当前数据隐私法规的有效性以及数字时代加强个人保护的必要性的质疑。
尽管该事件无疑对 Orrick 的声誉产生了重大影响,但该公司为解决漏洞和增强安全状况所做的持续努力反映了从经验中学习并变得更加强大的承诺。随着故事的展开,这一事件的教训可能会影响组织应对日益复杂的数字环境的实践和政策。
去年 12 月,Orrick 通知旧金山联邦法院,已原则上达成协议,以解决四起集体诉讼,这些诉讼指控 Orrick 未能及时通知受害者有关违规行为。奥睿发言人对和解表示满意,并强调将持续关注保护其系统和客户信息。
奥睿发言人补充道:“我们很高兴在事件发生后一年内达成和解,从而结束此事,并将继续致力于保护我们的系统以及客户和我们公司的信息。”
文档
以下是 Orrick, Herrington & Sutcliffe LLP 提交给缅因州总检察长办公室的信息。
数据泄露通知
实体信息
- 组织类型:其他商业
- 实体名称: Orrick, Herrington & Sutcliffe LLP(已更新)
- 街道地址: 405 霍华德街
- 城市:旧金山
- 州或国家(如果在美国境外): CA
- 邮政编码: 94105
由…所提交
- 姓名:阿拉文德·斯瓦米纳坦
- 头衔:合伙人
- 公司名称(如果与实体不同):
- 电话号码: (206) 639-9157
- 电子邮件地址: aswaminathan@orrick.com
- 与信息遭到泄露的实体的关系:合作伙伴
违规信息
- 受影响总人数(含居民): 637,620
- 受影响的缅因州居民总数: 830
- 如果缅因州居民人数超过 1,000 人,是否已通知消费者报告机构:否
- 违规发生日期: 2023 年 2 月 28 日
- 发现违规日期: 2023 年 3 月 13 日
- 违规情况描述:
- 外部系统漏洞(黑客攻击)
- 获取的信息 – 姓名或其他个人标识符结合:社会安全号码
通知和保护服务
- 通知类型:书面
- 消费者通知日期: 2023年9月14日、2023年11月16日、2023年11月17日
- 给受影响缅因州居民的通知副本: Orrick, Herrington & Sutcliffe LLP – 个人通知和安全事件补充通知 – 合并.pdf
- 任何先前(12 个月内)违规通知的日期: 2023 年 7 月 20 日、2023 年 8 月 18 日
- 是否提供身份盗用保护服务:是
- 如果是,请提供服务的持续时间、服务提供商以及服务的简要说明:两年 Kroll 身份监控服务