Ações judiciais de violação de dados da Iniciativa Nacional de Matemática e Ciências

Ações judiciais de violação de dados da Iniciativa Nacional de Matemática e Ciências

Em 7 de fevereiro de 2022, o Iniciativa Nacional de Matemática e Ciências (NMSI) enviou notificações para 191,255 pessoas, alertando-as sobre um incidente de segurança de dados que expôs informações de identificação pessoal (PPI).

Antes de explicar o que aconteceu, o CEO da NMSI, Bernard A. Harris Jr., garantiu aos destinatários que não havia evidências de que qualquer informação tivesse sido usada indevidamente em conexão com a violação de dados e que a organização estava enviando as notificações com muita cautela.

De acordo com a carta de Harris, em 13 de outubro de 2021, o software antivírus da NMSI alertou a organização sobre atividades de rede “incomuns”. Uma investigação da atividade revelou que um ator não autorizado possivelmente obteve acesso a determinados sistemas entre 23 de setembro de 2021 e 18 de outubro de 2021. Os indivíduos que receberam as cartas de notificação foram identificados como tendo suas informações presentes em sistemas NMSI violados no momento da violação. sua infiltração. 

A NMSI personalizou a carta de cada destinatário para mostrar quais elementos de dados o ator não autorizado pode ter acessado ou adquirido. Além de nomes, endereços e números de Previdência Social poderiam estar sujeitos a comprometimento.

A notificação não especificou se as pessoas afetadas eram professores, alunos, contratados ou funcionários.

Como a NMSI diz que está lidando com a violação de dados

A NMSI é uma organização sem fins lucrativos do Texas que trabalha com escolas e outras organizações para ajudar a melhorar o desempenho dos alunos.

Na carta de notificação da NMSI, Harris explicou que a organização respondeu à violação de dados investigando, avaliando a segurança de vários sistemas e alertando indivíduos cujos dados poderiam ser comprometidos.

A organização também redefiniu as senhas das contas e analisou arquivos e pastas que poderiam ter sido acessados ​​para verificar a presença de informações pessoais, informou Harris.

A NMSI notificou a aplicação da lei federal sobre a violação e afirma ter tomado medidas para minimizar o risco desse tipo de violação ocorrer no futuro.

Muito pouco, muito tarde

Apesar de todas as medidas pós-incidente que a NMSI tomou ou continua a implementar, elas simplesmente são muito pouco, muito tarde. Quando uma violação de segurança expõe PII, o risco de roubo de identidade aumenta significativamente. As consequências nefastas deste roubo prendem-se directamente com o facto de, no momento em que a vítima toma conhecimento do crime (às vezes anos), o uso indevido da sua identidade já teve um impacto negativo na sua notação de crédito.  

A Escritório de prestação de contas do governo dos EUA relata que os criminosos às vezes retêm dados roubados por um ano ou mais antes de usá-los para cometer roubo de identidade. Depois que os dados são vendidos ou usados ​​online, seu uso fraudulento pode persistir indefinidamente, muitas vezes sendo negociado no “mercado negro cibernético” por vários anos.

Isso torna difícil determinar o alcance total do prejuízo ao registro de crédito e à reputação financeira de qualquer indivíduo cuja PII seja comprometida em uma violação de dados. Considere, por exemplo, quando os hackers obtiveram acesso às senhas dos usuários do LinkedIn em 2012. Quatro anos se passaram antes que os hackers divulgassem as combinações roubadas de e-mail e senha.  

Muito possivelmente, os indivíduos cujas PII foram acessadas a partir da violação de dados do NMSI sofrerão um atraso semelhante, ofuscando o crime e seu impacto nas vítimas. Uma vez que a fumaça se dissipe, essas pessoas vão suportar a inconveniência substancial e o custo de reparar seu crédito danificado e nomes manchados. De acordo com Experian, as vítimas de roubo de identidade gastam, em média, seis meses e cerca de 200 horas de trabalho para recuperar suas identidades. Em casos complexos em que criminosos tomam empréstimos, abrem contas financeiras, declaram impostos e recebem reembolsos ou usam identidades roubadas para obter serviços médicos, o processo de restauração de identidades, interrupção de fraudes e reversão de danos pode levar anos.

Enquanto isso, é uma sensação desconfortável saber que suas PII permanecem na cibersfera – sem saber quando ou como elas serão usadas, ou o grau de sofrimento que seu uso indevido causará.  

Compreendendo o roubo de identidade

O Bureau of Justice Statistics' Pesquisa Nacional de Vitimização de Crimes define o roubo de identidade como incluindo três tipos gerais de incidentes:

  1. Uso não autorizado ou tentativa de uso de uma conta existente
  2. Uso não autorizado ou tentativa de uso de informações pessoais para abrir uma nova conta
  3. Uso indevido de informações pessoais para fins fraudulentos

De acordo com o NCVS Suplemento de roubo de identidade (ITS), nove por cento dos indivíduos com 16 anos ou mais foram vítimas de roubo de identidade em 2018, o que representa a mais recente recolha de dados para este crime. Desses indivíduos, 90% sofreram uso indevido ou tentativa de uso indevido de pelo menos um cartão de crédito ou conta bancária. As perdas totais abrangendo todos os incidentes de roubo de identidade naquele ano foram de US$ 15.1 bilhões.

Os criminosos podem usar as informações acessadas para assumir a identidade de qualquer pessoa cujo PPI tenha sido adquirido. De acordo com Relatório da Comissão Federal de Comércio (FTC) 2021, essas violações podem resultar em roubo de identidade voltado para uma ampla gama de resultados.

Fonte: Comissão Federal de Comércio (FTC)

Para visualizar a tendência crescente e o impacto do roubo de identidade, a FTC publicou o seguinte infográfico em janeiro de 2020 e atualizou os dados em fevereiro de 2022. O gráfico apresenta dados extraídos de relatórios de consumidores de indivíduos que ligaram para o call center da FTC ou relataram incidentes de roubo de identidade online:

Uma revisão do Identity Theft Research Center (ITRC)  relatório anual de violação de dados mostra que a disseminação desse crime continuou a piorar em 2021. O ITRC revelou que 2021 registrou um número recorde de comprometimentos de dados - 1,862 no total - o que representa um aumento de 68% em relação a 2020. O número também supera o recorde anterior de 1,506 instâncias em 23 por cento. De acordo com o relatório do ITRC, essas violações de dados afetaram 294 milhões de pessoas.

O que é PII?

PII consiste em qualquer informação que possa ser usada para inferir a identidade de um indivíduo. O Departamento do Trabalho dos EUA (DOL) lista vários tipos de informações que correspondem a essa definição. Algumas formas de PII identificam diretamente uma pessoa. Eles incluem:

  1. Nome
  2. Morada
  3. Número da Segurança Social
  4. Outros números ou códigos de identificação
  5. Número de telefone
  6. E-mail

Outras formas de PII incluem informações que uma agência usaria para identificar uma pessoa quando usadas em conjunto com outras informações. Esses descritores incluem elementos de dados como:

  1. Corrida
  2. Gênero
  3. Indicador geográfico
  4. Data de nascimento

O DOL também inclui como PII qualquer mídia eletrônica, em papel ou outras formas de mídia que permitam o contato físico ou on-line de uma pessoa.

Por que as PII são tão valiosas

Durante anos, os estudiosos observaram o valor crescente das PII. Em 2009, o Richmond Journal of Law & Tech publicou um artigo, Tendência de privacidade corporativa: o “valor” das informações de identificação pessoal (“PII”) é igual ao “valor” dos ativos financeiros

Os autores observaram que a crescente dependência da Corporate America em relação ao uso eletrônico de PII transformou essas informações em “uma mercadoria que as empresas comercializam e vendem.

“PII, que as empresas obtêm a baixo custo, tem um valor quantificável que está rapidamente atingindo um nível comparável ao valor dos ativos financeiros tradicionais”, concluíram os autores do artigo.

Antigo Federal Trade Commission (“FTC”) A comissária Pamela Jones Harbour descreveu os dados como moeda, com conjuntos de dados maiores oferecendo o maior potencial de lucro. Nas palavras de Porto:

“As informações sensíveis e de identificação pessoal de um consumidor devem ser tratadas da mesma forma que os bancos tratam o dinheiro de um consumidor. Os bancos guardam nosso dinheiro em uma poupança ou conta corrente… mas o dinheiro é nosso…. Temos certas reivindicações e direitos de expectativa sobre o dinheiro, mesmo que não esteja fisicamente em nossas mãos e outra entidade o “possa”.

Harbour observou ainda que os consumidores tendem a não entender as grandes quantidades e tipos de informações que as empresas coletam, nem entendem o valor desses dados.

Algumas empresas oferecem aos clientes a opção de vender suas PII para anunciantes e outros terceiros. Essa nova transparência de tais transações, por sua vez, criou um novo mercado para a compra e venda de dados pessoais.

Quando a agência de relatórios de crédito Equifax foi hackeado em 2017, PC Magazine publicou um artigo educando os leitores sobre o valor de sua identidade na Dark Web. De acordo com o artigo, os números do Seguro Social, datas de nascimento e nomes completos de pessoas com altas pontuações de crédito podem valer de US$ 60 a US$ 80 no mercado negro digital. Mais recentemente, pesquisas realizadas por Equipe de segurança cibernética de detetives de segurança revelou o valor de diferentes tipos de informações usadas na criação de uma nova identidade:

  1. Passaporte: A partir de $ 710
  2. BI/Carteira de Motorista: A partir de $ 200
  3. Número de Seguro Social/Cartão: $ 2- $ 5
  4. Certidão de nascimento: A partir de $ 240

Com o advento de criptomoedas como o Bitcoin, as compras podem não ser rastreáveis, tornando-se a moeda favorita dos criminosos envolvidos nessas transações.

Embora o PC Magazine os autores do artigo admitiram que a fonte dos dados roubados nem sempre era certa, um analista de inteligência disse a repórteres que a informação normalmente vem de esforços de hacking de computadores, com escolas e hospitais sendo as fontes favoritas dos cibercriminosos, devido ao volume de informações de identidade desses tipos de organizações coletar.

Recurso Jurídico e Resultados

Embora os promotores federais trabalhem para processar casos de roubo de identidade e fraude com a ajuda de agências federais de investigação (a Departamento Federal de Investigações, o Serviço Secreto dos Estados Unidos, e as Serviço de Inspeção Postal dos Estados Unidos, por exemplo), às vezes as vítimas podem recuperar suas perdas financeiras por meio de ações civis.  

Essas ações geralmente assumem a forma de uma ação coletiva, na qual indivíduos cujas PII foram acessadas e usadas indevidamente buscam indenização da entidade que abrigou os dados pessoais.

No caso de uma ação coletiva da NMSI, os advogados dos queixosos podem argumentar que as PII dos queixosos foram expostas e sujeitas a uso indevido como resultado da falha da NMSI em implementar e manter procedimentos e práticas de segurança razoáveis ​​e apropriados à natureza das informações para proteger o e PII dos membros da classe. Os advogados também podem argumentar que a NMSI falhou em implementar procedimentos de segurança razoáveis ​​para impedir um ataque em seus servidores por hackers e para impedir o acesso não autorizado de PII do Autor e dos membros da Classe como resultado desse ataque.

Em tal ação, as vítimas de roubo de identidade da violação de dados da NSMI podem buscar danos reais, medidas cautelares, incluindo medidas cautelares públicas e medidas declaratórias e outras medidas que o Tribunal considere apropriadas.

O que fazer se a violação da NSMI expor seus dados

Quando suas PII são expostas por meio de uma violação de dados, você corre um risco substancial de roubo de identidade, o que pode ser prejudicial ao seu crédito e ao seu nome e exigir um grande esforço para repará-lo.

Se a NMSI — ou alguma outra entidade — lhe enviou uma carta notificando que seu sistema foi violado e suas PII expostas, considere o recurso de participar de uma ação coletiva.

Por que escolher nosso escritório de advocacia

Nosso escritório de advocacia existe há mais de 65 anos e é reconhecido como um dos escritórios de advocacia mais proeminentes nos Estados Unidos. Com base em veredictos de escritórios de advocacia e acordos superiores a US$ 30 bilhões, nossos advogados de ações coletivas estão comprometidos em buscar justiça para as vítimas de violações de dados.

Nós somos o fundador da Mass Torts Made Perfect. Esta é uma conferência nacional a que assistem todos os anos os advogados da 1,500, onde ensinamos como lidar com sucesso com ações judiciais contra as maiores empresas do mundo. Para mais informações, por favor visite nosso Sobre nós seção.

em negócios 65 anos * $ 30 Bilhões em Veredictos e Assentamentos * Melhores Escritórios de Advocacia: US News & World Reports * Hall da fama dos advogados de julgamento * SuperLawyers
 
Nossas taxas e custos

Nossos advogados fornecem avaliações gratuitas de casos confidenciais, e nunca cobramos quaisquer taxas ou custos a menos que você primeiro se recupere.

A taxa de contingência que cobramos varia de 20% a 40%. O valor que cobramos é baseado em quanto recuperamos para você. Para revisar um resumo de nossas taxas e custos, clique em Taxas e Custos.

 
Avaliação de caso grátis

Para nos contactar para um consulta confidencial grátis, você pode nos ligar em (800) 277-1193. Você também pode solicitar uma avaliação privada e confidencial gratuitamente clicando Free & Confidencial Consulte. Sua consulta será imediatamente analisada por um de nossos advogados que lida com casos de ação coletiva.