Dolandırıcılık Yönetimi ve Siber Suç, Fidye Yazılımı
2.2 milyon müşteriyi etkileyen fidye yazılımı saldırısına bağlı geçici anlaşma
Mathew J. Schwartz (Euroinfosec) •
6 Mart 2025
Amerikan Eczane Zinciri Rite Aid, bir veri ihlali sınıfı eylem davasını çözmek için 6,8 milyon dolarlık bir anlaşmaya vardı.
Ayrıca bakınız: Yeni Ondemand | Expored QR kodları: Kolaylıktan Siber Güvenlik Kabusu
Philadelphia perakende devi, belgelenmiş kayıplar için kurban başına 10.000 dolara kadar ödeme yapmaya ve siber güvenlik uygulamalarını güçlendirmeye karar verdi. Bir federal hakimden geçici onay alan dava yerleşimleri için tipik olduğu gibi, Rite Aid’in yanlış yapmayı kabul etmesi gerekmez.
Rite Aid, 15 eyalette 1.300 mağazası ve 31.000 çalışanı olan ve 4.000’inin eczacı olan üçüncü büyük eczane zinciridir. Eylül 2024’te iflas işlemlerinden çıktı ve Ekim 2023’te Bölüm 11 dosyalamasının tetiklediği finansal bir yeniden yapılandırmanın ardından özel bir şirket olarak ortaya çıktı.
Pennsylvania’nın Doğu Bölgesi için ABD Bölgesi’nde açılan veri ihlali davası, 6 Haziran 2024’te Rite Yardım raporundan kaynaklandı ve bir saldırganın “bir şirket çalışanını iş kimlik bilgilerini tehlikeye atması ve belirli iş sistemlerine erişim kazanması için taklit etti.”
Şirket, “12 saat içinde izinsiz girişi tespit ettiğini ve hemen yetkisiz erişimi feshetmek, etkilenen sistemleri iyileştirmek ve herhangi bir müşteri verisinin etkilenip etkilenmediğini belirlemek için bir soruşturma başlattığını” söyledi.
Haftalar içinde, saldırganın 6 Haziran 2017 ve 30 Temmuz 2018 tarihleri arasında müşterilerin alımları veya satın alma girişimleri hakkında bilgi çaldığını doğruladı. Maruz kalan bilgiler müşterinin adını, adresini, doğum tarihini ve ehliyet numarasını içeriyordu.
İhlal, Fidye yazılımı grubu Ransomhub’ın çalındığı iddia edilen verilerin bir örneğini yayınladıktan sonra ortaya çıktı. Suçlular, veri sızıntı sitesinde isimler, adresler ve Rite Aid ödülleri kartı numaraları dahil olmak üzere yaklaşık 10 gigabayt müşteri bilgilerini çaldığını iddia ettiler.
Yerleşim anlaşması
Veri ihlali anlaşması uyarınca, 6,8 milyon dolar, uzlaşmanın tüketilecek şekilde tasarlandığı bir uzlaşma fonuna gidecek.
Rite Aid ayrıca URL’de bir web sitesi başlatacak RiteAidDataSettlement.com Bu, ihlal hakkında daha fazla ayrıntı içerir ve etkilenen tüm bireyleri doğrudan bilgilendirmeye çalışır.
Veri ihlalinden etkilenen bireyler, 10.000 dolara kadar belgelenmiş kayıplar için bir talepte bulunabilir. Mahkeme belgelerine göre, “Belgelenen kayıplar, talep edilen kaybın veri ihlali sonucundan daha olası olmadığını göstermek için yeterince desteklenmelidir.”
Alternatif olarak, bireyler uzlaşma sözleşmesinde belirtilen bir formülü kullanarak “nakit olarak ödeme ödemesini nakit olarak” alacak bir talepte bulunabilirler. Genel olarak, uzlaşma fonu idari giderler ödemek için kullanıldıktan sonra, toplam 2,4 milyon dolara kadar makul avukatlık ücretleri, vergiler, dört sınıf temsilcisinin her birine 3.500 dolarlık bir ödeme ve belgelenen kayıplar, geri kalanı diğer davacılar arasında bölünecektir.
Bir talep formu sunmak isteyen herhangi bir ABD sakini, 7 Temmuz’da veya daha önce, elektronik olarak veya o tarihe göre işaretli bir zarfla salyangoz postası yoluyla yapmalıdır.
Tüm uzlaştırma taleplerinin dağıtılmasından 120 günden fazla uzlaşma fonunda kalan para, Pennsylvania’nın Hukuk Hizmetleri kuruluşlarına, profesyonel bono programlarına ve hukuk fakültelerine hibe vererek sivil hukuk yardımını destekleyen Avukatlar Güven Hesap Kurulu’na bağışlanacaktır.