Pauvre Les pratiques de sécurité de Carnival Cruise Line sont exposées
Informations de Des milliers de New-Yorkais et de consommateurs dans tout le pays
New York recevra 44 000 $ d’un règlement multi-états avec Cruise Line
NEW YORK – Le procureur général James et 45 procureurs généraux ont récupéré aujourd’hui 1,25 million de dollars auprès de Carnival Cruise Line (Carnival) pour avoir compromis les informations personnelles de milliers d’employés et de consommateurs en raison de mauvaises pratiques de sécurité interne. Une violation de données en 2019 a révélé les informations personnelles de 180 000 employés et clients de Carnival dans tout le pays, dont 6 575 New-Yorkais. Carnival paiera à New York 44 092,12 $ de pénalités.
“Carnival Cruise Line n’a pas réussi à ancrer en toute sécurité et à protéger les informations personnelles de milliers de consommateurs”, a déclaré Procureur général James. « À l’ère numérique d’aujourd’hui, les entreprises doivent renforcer leurs mesures de confidentialité des données pour protéger les consommateurs contre la fraude. Les New-Yorkais en vacances ne devraient pas avoir à s’inquiéter de la divulgation de leurs informations personnelles. L’accord d’aujourd’hui obligera Carnival à inverser la tendance de ses pratiques imprudentes en matière de sécurité des données.
En mars 2020, Carnival a publiquement signalé une violation de données dans laquelle un acteur non autorisé a eu accès aux comptes de messagerie de certains employés de Carnival. La violation comprenait des noms, des adresses, des numéros de passeport, des numéros de permis de conduire, des informations de carte de paiement, des informations sur la santé et un nombre relativement restreint de numéros de sécurité sociale.
Les notifications de violation envoyées aux bureaux des procureurs généraux indiquaient que Carnival avait pris connaissance pour la première fois d’une activité de courrier électronique suspecte fin mai 2019, environ 10 mois avant que Carnival ne signale la violation. Une enquête multi-États s’en est suivie, axée sur les pratiques de sécurité des e-mails de Carnival et la conformité aux statuts de notification des violations des États. Les violations de données « non structurées », comme la violation de Carnival, impliquent des informations personnelles stockées par e-mail et d’autres plates-formes désorganisées. Les entreprises manquent de visibilité sur ces données, ce qui rend la notification des violations plus difficile et entraîne des risques supplémentaires pour les consommateurs avec les retards.
Dans le cadre du règlement d’aujourd’hui, Carnival a accepté une série de dispositions conçues pour renforcer ses pratiques de sécurité des e-mails et de réponse aux violations à l’avenir, notamment :
- Mettre en œuvre et maintenir un plan d’intervention et de notification en cas d’infraction ;
- Exiger une formation sur la sécurité des e-mails pour les employés, y compris des exercices de phishing dédiés ;
- Instaurer une authentification multi-facteurs pour l’accès à distance aux e-mails ;
- Exiger l’utilisation de mots de passe forts et complexes, la rotation des mots de passe et le stockage sécurisé des mots de passe pour les politiques et procédures de mot de passe ;
- Maintenir des outils d’analyse de comportement améliorés pour enregistrer et surveiller les événements de sécurité potentiels sur le réseau de l’entreprise ; et,
- Faire l’objet d’une évaluation indépendante de la sécurité des informations, conformément aux règlements antérieurs en matière de violation de données.
New York a rejoint l’enquête et le règlement avec l’Alabama, l’Alaska, l’Arizona, l’Arkansas, le Colorado, le Connecticut, le Delaware, le District de Columbia, la Floride, la Géorgie, Hawaï, l’Idaho, l’Indiana, l’Iowa, le Kansas, le Kentucky, la Louisiane, le Maine, le Maryland, le Massachusetts. , Michigan, Minnesota, Montana, Nebraska, Nevada, New Hampshire, New Jersey, Nouveau-Mexique, Caroline du Nord, Dakota du Nord, Ohio, Oklahoma, Oregon, Pennsylvanie, Rhode Island, Caroline du Sud, Dakota du Sud, Tennessee, Utah, Vermont, Virginie , Washington, Virginie-Occidentale, Wisconsin et Wyoming.
Cette affaire a été traitée par le chef de bureau adjoint Clark Russell du Bureau de l’Internet et de la technologie, sous la supervision du chef de bureau Kim Berger. Le Bureau de l’Internet et de la technologie fait partie de la Division de la justice économique et est dirigé par le sous-procureur général en chef Chris D’Angelo. La Division de la justice économique est supervisée par le premier sous-procureur général Jennifer Levy.
