因違反網絡安全合規要求,這家公司被罰超1000萬元
責編:gltian |2025-03-04 16:37:36因違反《健康保險流通與問責法案》(HIPAA),美國聯邦監管機構對眼鏡制造商兼零售商Warby Parker處以150萬美元(約合人民幣1092萬元)的民事罰款。該公司此前遭遇憑證填充攻擊,影響了約20萬人。
這是自第二屆唐納德·特朗普政府以來,美國衛生與公眾服務部(HHS)民權辦公室(OCR)首次公布的HIPAA執法行動。不過民權辦公室表示,該罰款實際上是拜登政府在2024年12月的最后幾周內對Warby Parker作出的裁決。
Warby Parker數次補充數據泄露報告,共影響近20萬用戶
民權辦公室表示,其于2018年12月啟動對Warby Parker的調查,此前該公司提交了一份HIPAA數據泄露報告。
報告顯示,Warby Parker在2018年11月發現其網站上存在異常登錄嘗試。該公司報告稱,在2018年9月25日至11月30日期間,未經授權的第三方使用從其他無關網站獲取的用戶名和密碼訪問了Warby Parker的客戶賬戶,而這些網站可能已發生數據泄露。
隨后,在該憑證填充攻擊發生約兩年后,Warby Parker于2020年9月對其2018年12月提交的數據泄露報告進行了補充,更新受影響用戶人數至197986人。
民權辦公室表示,受影響的電子受保護健康信息(ePHI)包括Warby Parker客戶的姓名、郵寄地址、電子郵件地址、部分支付卡信息及眼鏡處方信息。
此外,民權辦公室還指出,Warby Parker在2020年4月和2022年6月分別提交了后續數據泄露報告,每次報告涉及的受影響人數均少于500人,這些事件同樣源于憑證填充攻擊。
Warby Parke違反HIPAA合規要求,主動接受罰款
民權辦公室的調查發現,Warby Parker違反了HIPAA安全規則的三項規定:
1.未能進行準確且徹底的風險分析;
2.未能實施足夠的安全措施,以降低ePHI的風險和漏洞;
3.未能建立定期審查信息系統活動記錄的程序。
民權辦公室代理主任Anthony Archeval表示:“識別并解決電子受保護健康信息的潛在風險和漏洞,對于有效的網絡安全防護以及遵守HIPAA安全規則至關重要。”
他補充道:“保護個人電子健康信息意味著受監管實體需要在發生數據泄露之前,就嚴格執行并遵守安全規則要求。”
民權辦公室于2024年9月通知Warby Parker,計劃對其處以150萬美元罰款。然而,該公司放棄了聽證權利,并未對該機構的擬定裁決提出異議。2024年12月,民權辦公室正式執行了罰款決定。
針對HIPAA罰款,Warby Parker暫未回應媒體的置評請求。
民權辦公室處理HIPAA違規的執法行動通常以與相關企業或業務合作伙伴達成和解協議的方式結束,包括經濟賠償及整改計劃。目前尚不清楚Warby Parker未對民權辦公室的裁決提出異議的具體原因,但一些專家認為可能涉及多個因素。
Metaverse Law事務所的監管律師Lily Li(未參與本案)表示:“Warby Parker放棄聽證權利的做法并不常見。”
她指出:“不對民事罰款提出異議可能意味著兩個原因:第一,他們不想承擔抗辯罰款所需的律師費;第二,他們可能對自身過去的安全狀況存在更多顧慮,因此不希望進一步接受調查。”
參考資料:govinfosecurity.com