Mochis NoticiasArte y EntretenimientoChristie’s sufre una demanda colectiva por los datos de sus clientes tras un ciberataque
Mochis NoticiasArte y EntretenimientoChristie’s sufre una demanda colectiva por los datos de sus clientes tras un ciberataque
Arte y Entretenimiento

Christie’s sufre una demanda colectiva por los datos de sus clientes tras un ciberataque

Si hay algo a lo que tienen acceso los ricos es a los abogados. Como resultado, un cliente de Christie’s presentó recientemente una demanda colectiva contra la casa de subastas después de sufrir un ciberataque en mayo.

El incidente, al que Christie’s se refirió anteriormente como un «incidente de seguridad tecnológica», cerró su sitio web durante diez días antes y durante la venta de la casa de Nueva York.

El grupo de ciberextorsión RansomHub se atribuyó la responsabilidad del ciberataque el 27 de mayo. Un mensaje de la dark web del grupo también decía que «intentó llegar a una resolución razonable», pero la casa de subastas cortó la comunicación en medio de las negociaciones. Christie’s envió un correo electrónico a sus clientes el 30 de mayo reconociendo el ciberataque, pero dijo que sólo se robaron datos de identificación, no datos financieros o de transacciones.

Artículos relacionados

TORONTO, ON: El famoso artista ojibwe Norval Morrisseau en una fotografía de 1977.  Le enseñó a dibujar a su hijo, quien a su vez le enseñó a su hijo, Kyle.  (Graham Bezant/Toronto Star vía Getty Images)

La demanda presentada en el Distrito Sur de Nueva York el 3 de junio alega que Christie’s no protegió la «información de identificación personal» de sus clientes, o PII, que se estima en al menos medio millón de compradores actuales y anteriores en sus bases de datos. La denuncia describe la violación como «un resultado directo de [Christie’s] la falta de implementación de procedimientos y protocolos de ciberseguridad adecuados y razonables necesarios para proteger la PII de los consumidores de un ciberataque previsible y prevenible”. La denuncia presentada también alega que «los ladrones de datos ya han participado en robo de identidad y fraude y pueden en el futuro cometer una variedad de delitos» utilizando la información robada, que, según dijo, incluye nombres completos, números de teléfono, pasaportes y otros datos confidenciales. detalles de escaneos de pasaportes, incluidas fechas de nacimiento, lugares de nacimiento, géneros y «zonas legibles por máquina» o MRZ, como códigos de barras.

La denuncia alega que la violación de datos provocó numerosos «daños concretos», incluida una invasión de la privacidad; pérdida de tiempo y costos de oportunidad al «tratar de mitigar las consecuencias reales de la violación de datos».

La demanda también afirma que los clientes de Christie también corren el riesgo de sufrir diversas formas de robo de identidad, incluida la posibilidad de que malos actores abran cuentas financieras fraudulentas y préstamos a nombre de personas expuestas; obtener beneficios gubernamentales ilegalmente, o incluso obtener una identificación con fotografía alternativa y «dar información falsa a la policía durante un arresto».

El único demandante nombrado actualmente en la demanda colectiva es Efstathios Maroulis, quien se define en la demanda como residente y ciudadano de Dallas, Texas. Los perfiles de Instagram y LinkedIn que coinciden con el nombre y la ubicación de Maroulis dijeron que el individuo era el fundador y director ejecutivo de la empresa de software empresarial dental Jarvis Analytics, así como el fundador y director ejecutivo de la empresa de marketing digital Mesa Six. Jarvis Analytics fue adquirida por la empresa de suministros médicos y dentales Henry Schein en 2021.

Mensajes de ARTnoticias a los perfiles de Instagram y LinkedIn que se cree pertenecen a Maroulis no obtuvieron respuesta.

La denuncia de Maroulis también sostiene que los piratas informáticos con al menos dos formas de PII pueden utilizar esos detalles obtenidos ilegalmente junto con datos disponibles públicamente encontrados en otros lugares para «compilar expedientes completos sobre individuos» con «un alcance y un grado de precisión sorprendentemente completos». La Gaceta de ArteQuien informó por primera vez sobre la demanda, señaló que estos expedientes, llamados «fullz» en los círculos de hackers, «normalmente alcanzan precios considerablemente más altos en la web oscura que los registros parciales gracias a su utilidad considerablemente mayor para realizar robo de identidad».

La definición de la causa del alcance de los daños alegados como resultado del ciberataque también incluye a los intermediarios de datos. La denuncia de Maroulis alega que los clientes afectados por la violación de datos de Christie’s ya no pueden vender voluntariamente sus datos personales a su valor total como resultado de su exposición por parte de RansomHub, y que la información «también puede caer en manos de empresas que la utilizarán». él [it] para marketing dirigido” sin su consentimiento o permiso.

Según un documento presentado el 5 de junio, el juez del Tribunal de Distrito de los Estados Unidos, Jesse M. Furman, ordenó que los abogados de todas las partes comparecieran en una conferencia inicial previa al juicio en el tribunal el 10 de septiembre.

La casa de subastas también presentó un aviso de infracción ante la oficina del fiscal general de California, Rob Bonta. La carta afirma que Christie’s descubrió que fue víctima de un incidente de ciberseguridad el 9 de mayo, contrató a expertos externos en ciberseguridad y notificó a las autoridades. La carta también afirma que la casa de subastas ofrece una «suscripción gratuita de doce meses a CyEx Identity Defense Total», un servicio de seguimiento de fraude y robo de identidad que notifica cualquier cambio en los informes de crédito de Experian, Equifax y TransUnion.

La carta está firmada por el director de operaciones de Christie, Ben Gore. El sitio web de CyEx indica el valor de referencia de «Identity Defense Total» en $19,99 por mes.

Un portavoz de Christie’s se negó a hacer comentarios por él. ARTnoticias sobre la causa. Cuando se le preguntó si se habían presentado otras notificaciones de incumplimiento, un portavoz escribió en un correo electrónico: «Las notificaciones de incumplimiento se han emitido a las autoridades correspondientes de acuerdo con el cumplimiento continuo del GDPR y otras regulaciones nacionales y estatales relevantes».

Milberg Coleman Bryson Phillips Grossman, el bufete de abogados que representa a Maroulis, tampoco respondió a una solicitud de comentarios de ARTnoticias por publicación.

A pesar del ciberataque, la casa de subastas aún pudo generar 114,7 millones de dólares por sus ventas de Rosa de la Cruz y 21st Century y 413 millones de dólares durante su venta de 20th Century Evening en Nueva York a través de pujas telefónicas, en persona, y su plataforma online Christie’s Lives. .

La noticia de la demanda colectiva fue reportada por primera vez por La Gaceta del Arte. Brett Callow, analista de amenazas de la firma de ciberseguridad Emsisoft con sede en Nueva Zelanda, publicó las primeras noticias sobre la notificación de infracción a la oficina del Fiscal General de California en X.

Source link

Hi, I’m Corina Guzman

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *