压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

因違反《健康保險(xiǎn)流通與問責(zé)法案》（HIPAA），美國聯(lián)邦監(jiān)管機(jī)構(gòu)對(duì)眼鏡制造商兼零售商Warby Parker處以150萬美元（約合人民幣1092萬元）的民事罰款。該公司此前遭遇憑證填充攻擊，影響了約20萬人。

這是自第二屆唐納德·特朗普政府以來，美國衛(wèi)生與公眾服務(wù)部（HHS）民權(quán)辦公室（OCR）首次公布的HIPAA執(zhí)法行動(dòng)。不過民權(quán)辦公室表示，該罰款實(shí)際上是拜登政府在2024年12月的最后幾周內(nèi)對(duì)Warby Parker作出的裁決。

Warby Parker數(shù)次補(bǔ)充數(shù)據(jù)泄露報(bào)告，共影響近20萬用戶

民權(quán)辦公室表示，其于2018年12月啟動(dòng)對(duì)Warby Parker的調(diào)查，此前該公司提交了一份HIPAA數(shù)據(jù)泄露報(bào)告。

報(bào)告顯示，Warby Parker在2018年11月發(fā)現(xiàn)其網(wǎng)站上存在異常登錄嘗試。該公司報(bào)告稱，在2018年9月25日至11月30日期間，未經(jīng)授權(quán)的第三方使用從其他無關(guān)網(wǎng)站獲取的用戶名和密碼訪問了Warby Parker的客戶賬戶，而這些網(wǎng)站可能已發(fā)生數(shù)據(jù)泄露。

隨后，在該憑證填充攻擊發(fā)生約兩年后，Warby Parker于2020年9月對(duì)其2018年12月提交的數(shù)據(jù)泄露報(bào)告進(jìn)行了補(bǔ)充，更新受影響用戶人數(shù)至197986人。

民權(quán)辦公室表示，受影響的電子受保護(hù)健康信息（ePHI）包括Warby Parker客戶的姓名、郵寄地址、電子郵件地址、部分支付卡信息及眼鏡處方信息。

此外，民權(quán)辦公室還指出，Warby Parker在2020年4月和2022年6月分別提交了后續(xù)數(shù)據(jù)泄露報(bào)告，每次報(bào)告涉及的受影響人數(shù)均少于500人，這些事件同樣源于憑證填充攻擊。

Warby Parke違反HIPAA合規(guī)要求，主動(dòng)接受罰款

民權(quán)辦公室的調(diào)查發(fā)現(xiàn)，Warby Parker違反了HIPAA安全規(guī)則的三項(xiàng)規(guī)定：

1.未能進(jìn)行準(zhǔn)確且徹底的風(fēng)險(xiǎn)分析；

2.未能實(shí)施足夠的安全措施，以降低ePHI的風(fēng)險(xiǎn)和漏洞；

3.未能建立定期審查信息系統(tǒng)活動(dòng)記錄的程序。

民權(quán)辦公室代理主任Anthony Archeval表示：“識(shí)別并解決電子受保護(hù)健康信息的潛在風(fēng)險(xiǎn)和漏洞，對(duì)于有效的網(wǎng)絡(luò)安全防護(hù)以及遵守HIPAA安全規(guī)則至關(guān)重要?！?/p>

他補(bǔ)充道：“保護(hù)個(gè)人電子健康信息意味著受監(jiān)管實(shí)體需要在發(fā)生數(shù)據(jù)泄露之前，就嚴(yán)格執(zhí)行并遵守安全規(guī)則要求?！?/p>

民權(quán)辦公室于2024年9月通知Warby Parker，計(jì)劃對(duì)其處以150萬美元罰款。然而，該公司放棄了聽證權(quán)利，并未對(duì)該機(jī)構(gòu)的擬定裁決提出異議。2024年12月，民權(quán)辦公室正式執(zhí)行了罰款決定。

針對(duì)HIPAA罰款，Warby Parker暫未回應(yīng)媒體的置評(píng)請(qǐng)求。

民權(quán)辦公室處理HIPAA違規(guī)的執(zhí)法行動(dòng)通常以與相關(guān)企業(yè)或業(yè)務(wù)合作伙伴達(dá)成和解協(xié)議的方式結(jié)束，包括經(jīng)濟(jì)賠償及整改計(jì)劃。目前尚不清楚Warby Parker未對(duì)民權(quán)辦公室的裁決提出異議的具體原因，但一些專家認(rèn)為可能涉及多個(gè)因素。

Metaverse Law事務(wù)所的監(jiān)管律師Lily Li（未參與本案）表示：“Warby Parker放棄聽證權(quán)利的做法并不常見?！?/p>

她指出：“不對(duì)民事罰款提出異議可能意味著兩個(gè)原因：第一，他們不想承擔(dān)抗辯罰款所需的律師費(fèi)；第二，他們可能對(duì)自身過去的安全狀況存在更多顧慮，因此不希望進(jìn)一步接受調(diào)查?！?/p>

參考資料：https://www.govinfosecurity.com/feds-fine-eyeglass-retailer-15m-for-hipaa-lapses-in-hacks-a-27571

聲明：本文來自安全內(nèi)參，稿件和圖片版權(quán)均歸原作者所有。所涉觀點(diǎn)不代表東方安全立場(chǎng)，轉(zhuǎn)載目的在于傳遞更多信息。如有侵權(quán)，請(qǐng)聯(lián)系rhliu@skdlabs.com，我們將及時(shí)按原作者或權(quán)利人的意愿予以更正。