公司网络安全漏洞引发集体诉讼

关键点提炼

事件概述：因网络安全漏洞，Progress Software面临集体诉讼。诉讼详情：原告声称个人数据被泄露，要求赔偿超过500万美元。公司回应：Progress Software表示专注于帮助客户恢复，无法评论诉讼。

近年来，私营部门公司重大的网络安全漏洞事件引发了一系列法律诉讼。这一次，Progress Software由于其MOVEit文件传输和云文件传输服务的安全性问题，正在面对集体诉讼。

2023年6月20日，来自路易斯安那州的三名个人在马萨诸塞州地区法院对Progress Software提起了集体诉讼，原告代表超过100名个人，表示因为该公司的安全实践不够严谨，导致他们的个人数据在此次黑客攻击中被曝光和盗窃。诉讼请求超过500万美元的赔偿，称这些被盗数据对数据盗贼来说“简直是金矿”。

其中一位主要原告Shavonne Diggs表示，在安全漏洞之后，她接到了“无数个网络钓鱼电话”，其中一些声称她报名参加了不同的学术机构，并在她的一张支付卡上出现了一笔未经授权的收费。

“掌握了数据泄露中的个人信息，数据盗贼可以进行多种犯罪活动，包括以班级成员的名义开设新财务账户、贷款、获取医疗服务、申请政府福利、使用班级成员的信息进行虚假的税务申报、获得与其他人照片不同的班级成员名下的驾驶执照，以及在逮捕时向警察提供虚假信息，”原告律师写道。

Progress Software于5月31日披露并修复了一个SQL注入漏洞，该漏洞可能导致权限提升和远程代码执行。安全研究人员很快发现众多企业已经遭受了此漏洞的攻击，Cl0p勒索软件团伙也在其暗网上发布了一系列受害者信息。

数周后，该公司又披露了另一个影响MOVEit Transfer的SQL漏洞，并推出了另一项补丁，同时暂时关闭了MOVEit CloudProgress Software的网站声明，他们并不认为此第二个漏洞已经被利用，而关闭MOVEit Cloud是出于预防措施。

一元机场clash

诉讼声称，Progress Software的客户将敏感文件托管给该公司，因此期望其能够安全地保护这些数据。他们还声称公司的安全措施不足，违反了与客户的合同协议，并可能构成《联邦贸易委员会法案》下的“不公平行为”，该法案强调网络安全应纳入所有商业决策中。

根据投诉，Progress Software并未通知受影响的客户，直到路易斯安那州机动车辆局告知居民他们的资料已遭泄露，才有人发现自己受到了影响。

因此，该公司并未给予原告任何“保证”，表明他们已经采取了增强的数据安全措施以避免未来类似漏洞的发生。原告认为，他们面临着“迫在眉睫的、即时的和持续的可量化损失风险”。

Progress Software的公关公司在声明中表示，他们无法对正在进行的诉讼进行评论，专注于帮助客户从此次黑客攻击中恢复。

“我们不会对待决诉讼发表评论，因为我们的重点是与客户紧密合作，以便他们采取必要措施进一步加固其环境，包括应用我们已发布的补丁，”发言人在声明中写道。“我们继续与领先的网络安全专家合作，并致力于在行业范围内共同应对越来越复杂且持久的网络犯罪分子，以便更好地应对广泛使用的软件产品中的漏洞。”

在数字时代，客户、股东或受害者因企业的安全实践而发起的诉讼越来越普遍。像SolarWinds、SuperCare等公司以及旧金山49人队和奥克兰市在自身的数据泄露后都遭遇了类似的法律诉讼。

与许多此类诉讼一样，这份投诉并未提供导致事件发生的具体安全失误示例。相反，它声称Progress Software通常未遵循“行业最佳实践”，例如未安装恶意软件检测软件、未监控网络端口、未保护网络浏览器和电子邮件管理系统、未设置防火墙、交换机和路由器、未监控物理安全漏洞和未对员工进行培训，这些都