EyeMed Vision Care与四州达成250万美元和解

关键要点

• EyeMed Vision Care因2020年数据泄露事件，与新泽西州、俄勒冈州、宾夕法尼亚州和佛罗里达州达成250万美元的和解。
• 数据泄露影响超过210万患者，由于其安全程序存在多个缺陷，导致此次事件的发生。
• 事件促使EyeMed加强其隐私和安全程序，以确保遵守消费者保护法律和HIPAA要求。

新泽西州、俄勒冈州、宾夕法尼亚州和佛罗里达州与EyeMed VisionCare达成了250万美元的和解，以解决因其安全程序的“缺陷”导致2020年数据泄露事件，该事件波及全国超过210万名患者。

EyeMed是眼保健巨头Luxottica旗下的一家公司，主要为健康保险公司提供视力福利。

根据州审计的结果，发现其安全程序存在六个缺陷，包括未能确保数据保护、缺乏准确和全面的风险评估、不足的密码策略、无效的电子邮件安全措施以及未能实施有效的用户验证措施。

这是EyeMed在过去18个月内第三区域检察官达成的和解。，原因是调查发现其安全措施存在严重漏洞。而在10月，纽约州再次对EyeMed处以，因为这些漏洞被认为加重了数据泄露的后果。

调查最初是由EyeMed在2020年发布的数据泄露通知引发的，通知中披露了一名攻击者于2020年7月1日访问了一个员工的电子邮件帐户并向该帐户的联系人列表发送了超过2000封网络钓鱼邮件。该攻击者对账户控制了一周的时间。

根据州际同意令，“调查确认攻击者在访问EyeMed电子邮件帐户期间具备提取文件和信息的能力，调查人员未能排除已经发生信息提取的可能性。”

受影响的帐户包含与当前和前任视力福利成员相关的数据，包括联系方式、出生日期、视力保险账户和识别号码、驾照及其他政府识别号码、健康保险账户和识别号码、医疗救助或医疗保险号码，以及出生或结婚证书。

此外，一些患者在此次黑客攻击中，其部分或全部社会安全号和/或财务数据也受到了影响，还包括医疗诊断、健康状况、治疗和/或护照号码。大约六年的个人和医疗数据被曝光。

此次针对数据泄露的最新多州审计与纽约州的报告结果一致，确认了EyeMed不足的安全程序导致了此次事件，并违反了州消费者和个人信息保护法，以及《健康保险可移植性与责任法案》（HIPAA）。

具体来说，审计发现“Several EyeMed employees were sharing a single password to an emailaccount used by EyeMed employees to communicate sensitive consumerinformation”，即多个EyeMed员工共享一个用于交流敏感消费者信息的电子邮件账户的密码。

审计还发现，尽管EyeMed在电子邮件黑客事件之前已经开始推广多因素认证，但在事件发生时并未全面实施。虽然公司有一项禁止共享电子邮件账户的政策，但仍有九名员工通过共享相同的用户名和密码访问了该账户。

此外，由于许可限制，该公司无法“确定邮件项目在90天内是否被访问、何时被回复或转发，也无法识别用户何时搜索以及搜索的内容”，同意令指出。

新泽西州检察长马修·普拉特金在一份声明中表示：“新泽西州人信任EyeMed来照顾他们的视力和个人信息，却因该公司的安全措施失当而失去了这种信任。”

他补充道：“这不仅仅是一个金钱和解，更是关于改变公司的行为，以更好地保护至关重要的患者数据。”

除了金钱和解外，EyeMed还被要求对其隐私和安全程序做出重大改变，以确保遵守消费者保护法律和HIPAA的要求。这些要求包括“不误导消费者信息的隐私、安全或