LANSING – Le procureur général du Michigan, Dana Nessel, a rejoint 45 autres procureurs généraux pour obtenir un règlement multi-États de 1,25 million de dollars avec Carnival Cruise Line, basé en Floride, à la suite d’une violation de données en 2019 impliquant les informations personnelles d’environ 180 000 employés et clients de Carnival dans tout le pays. Le Michigan recevra 29 016,47 $ du règlement.
En mars 2020, Carnival a publiquement signalé une violation de données dans laquelle un acteur non autorisé a eu accès aux comptes de messagerie de certains employés de Carnival. La violation comprenait des noms, des adresses, des numéros de passeport, des numéros de permis de conduire, des informations de carte de paiement, des informations sur la santé et un nombre relativement restreint de numéros de sécurité sociale. Au Michigan, 3 817 résidents ont été touchés.
Les notifications de violation envoyées aux bureaux des procureurs généraux indiquaient que Carnival avait pris connaissance pour la première fois d’une activité de courrier électronique suspecte fin mai 2019, environ 10 mois avant que Carnival ne signale la violation. Une enquête multi-États s’est ensuivie, se concentrant sur les pratiques de sécurité des e-mails de Carnival et la conformité aux statuts de notification des violations des États.
Les violations de données « non structurées » comme la violation de Carnival impliquent des informations personnelles stockées par e-mail et d’autres plates-formes désorganisées. Les entreprises manquent de visibilité sur ces données, ce qui rend la notification des violations plus difficile et le risque pour les consommateurs augmente avec les retards.
“Je suis fier de me joindre à mes collègues pour obtenir plus d’un million de dollars de Carnival lié à cette violation de données”, a déclaré Nessel. « Tout aussi importantes sont les nouvelles politiques acceptées par Carnival, qui permettront de mieux protéger les informations personnelles de leurs employés et clients. Nous devons nous assurer que les grandes entreprises et les sociétés accordent la priorité à la sécurité des données tout comme elles le feraient pour les bénéfices. »
Dans le cadre du règlement, Carnival a accepté une série de dispositions conçues pour renforcer ses pratiques de sécurité des e-mails et de réponse aux violations à l’avenir. Ceux-ci incluent :
- la mise en œuvre et la maintenance d’un plan d’intervention et de notification en cas de violation ;
- les exigences de formation à la sécurité des e-mails pour les employés, y compris des exercices de phishing dédiés ;
- authentification multi-facteurs pour l’accès à distance aux e-mails ;
- politiques et procédures de mots de passe nécessitant l’utilisation de mots de passe forts et complexes, la rotation des mots de passe et le stockage sécurisé des mots de passe ;
- maintenance d’outils d’analyse de comportement améliorés pour enregistrer et surveiller les événements de sécurité potentiels sur le réseau de l’entreprise ; et
- conformément aux règlements passés en matière de violation de données, soumis à une évaluation indépendante de la sécurité de l’information.
L’accord de règlement du Michigan est maintenant disponible sur le site Web du ministère du Procureur général.
Le Connecticut, la Floride et Washington ont co-dirigé l’enquête et ont été aidés par l’Alabama, l’Arizona, l’Arkansas, l’Ohio et la Caroline du Nord.
Les autres procureurs généraux à rejoindre sont l’Alaska, le Colorado, le Delaware, le district de Columbia, la Géorgie, Hawaï, l’Idaho, l’Indiana, l’Iowa, le Kansas, le Kentucky, la Louisiane, le Maine, le Maryland, le Massachusetts, le Minnesota, le Montana, le Nebraska, le Nevada et le New Hampshire. , New Jersey, Nouveau-Mexique, New York, Dakota du Nord, Oklahoma, Oregon, Pennsylvanie, Rhode Island, Caroline du Sud, Dakota du Sud, Tennessee, Utah, Vermont, Virginie, Virginie-Occidentale, Wisconsin et Wyoming.
###
