Nhà đấu giá Christie's dính vào vụ kiện tập thể vì để lộ dữ liệu khách hàng

Một khách hàng của Christie's đã đệ đơn kiện tập thể chống lại nhà đấu giá sau khi họ trải qua cuộc tấn công mạng vào tháng 5 vừa qua. Christie's mô tả sự cố này như một "sự cố an ninh công nghệ" đã buộc họ phải đóng cửa trang web trong mười ngày và ảnh hưởng đến đợt bán đấu giá tại New York. Tổ chức tội phạm mạng RansomHub đã đứng ra nhận trách nhiệm vào ngày 27 tháng 5. Họ cũng tiết lộ rằng họ đã cố gắng đàm phán với Christie's để đạt được một giải pháp hợp lý, nhưng đã bị cắt đứt liên lạc trong quá trình này. Christie's đã thông báo cho khách hàng vào ngày 30 tháng 5 về vụ tấn công mạng, tuy nhiên nhà đấu giá khẳng định chỉ có dữ liệu nhận dạng bị ảnh hưởng, không phải thông tin tài chính hay giao dịch nào bị đánh cắp.

Ngày 3 tháng 6, một đơn khiếu nại đã được nộp tại Quận Nam của New York, buộc tội Christie's về việc không bảo vệ được thông tin nhận dạng cá nhân (PII) của ít nhất nửa triệu khách hàng hiện tại và cũ trong cơ sở dữ liệu của họ. Đơn khiếu nại cho biết hành vi vi phạm này là kết quả trực tiếp của việc Christie's không thực hiện đầy đủ và hợp lý các quy trình và giao thức an ninh mạng để ngăn chặn được một cuộc tấn công mạng có thể đoán trước. Ngoài ra, đơn khiếu nại cũng cáo buộc rằng kẻ trộm dữ liệu đã thực hiện hành vi trộm cắp danh tính và lừa đảo, và có thể tiến hành nhiều hành vi phạm tội khác trong tương lai bằng cách sử dụng thông tin bị đánh cắp. Thông tin này bao gồm tên đầy đủ, số hộ chiếu và các chi tiết nhạy cảm khác từ quét hộ chiếu, như ngày sinh, nơi sinh, giới tính và các mã vùng có thể đọc bằng máy (MRZ). 

Vụ kiện cũng chỉ ra rằng các khách hàng của Christie's đang đối mặt với nguy cơ bị đánh cắp danh tính dưới nhiều hình thức. Điều này có thể bao gồm kẻ xấu mở các tài khoản tài chính gian lận và cho vay dưới danh nghĩa của những cá nhân bị lộ thông tin. Ngoài ra, có nguy cơ các thông tin này bị lợi dụng để đảm bảo các lợi ích của chính phủ một cách bất hợp pháp, hoặc thậm chí có thể dẫn đến việc cung cấp thông tin sai lệch cho cảnh sát trong trường hợp bị bắt giữ.

Nguyên đơn duy nhất trong vụ kiện tập thể là Efstathios Maroulis, được xác định là cư dân và công dân của Dallas, Texas. Theo hồ sơ trên Instagram và LinkedIn, Maroulis là người sáng lập và Giám đốc điều hành của công ty phần mềm doanh nghiệp nha khoa Jarvis Analytics, cũng như là người sáng lập và Giám đốc điều hành của công ty tiếp thị kỹ thuật số Mesa Six. Jarvis Analytics đã được Henry Schein, một công ty cung cấp sản phẩm và dịch vụ cho ngành nha khoa và y tế, mua lại vào năm 2021. Tin nhắn từ ARTnews tới hồ sơ Instagram và LinkedIn được cho là của Maroulis đều không nhận được phản hồi.

Khiếu nại của Maroulis cũng lập luận rằng tin tặc có thể sử dụng thông tin chi tiết mà họ thu thập bất hợp pháp, kết hợp với các dữ liệu công khai từ các nguồn khác, để tạo ra những "hồ sơ hoàn chỉnh về các cá nhân" với mức độ chính xác và phạm vi đáng kinh ngạc. Báo The Art Newspaper, tờ báo đầu tiên đưa tin về vụ kiện, chỉ ra rằng những hồ sơ này, gọi là "fullz" bởi giới hacker, thường được bán với giá cao hơn nhiều so với các bản ghi dữ liệu một phần, nhờ vào tính đầy đủ và hiệu quả cao của chúng trong việc thực hiện hành vi trộm cắp danh tính trên web đen. Định nghĩa của vụ kiện về phạm vi tổn thất cho biết rằng cuộc tấn công mạng đã ảnh hưởng đến cả các nhà môi giới dữ liệu. Maroulis trong khiếu nại của mình cũng cáo buộc rằng những khách hàng bị ảnh hưởng bởi việc vi phạm dữ liệu tại Christie's không còn có quyền tự do quyết định về việc bán thông tin cá nhân của họ với giá trị đầy đủ, vì thông tin này đã bị RansomHub tiết lộ và có thể rơi vào tay các công ty sử dụng nó cho mục đích tiếp thị mà không có sự đồng ý của họ.

Theo một tài liệu được đệ trình vào ngày 5 tháng 6, Thẩm phán Tòa án Quận Hoa Kỳ Jesse M. Furman đã ra lệnh rằng tất cả các luật sư đại diện cho các bên phải xuất hiện tại cuộc họp trước phiên tòa đầu tiên vào ngày 10 tháng 9.

Nhà đấu giá Christie's cũng đã gửi thông báo vi phạm đến văn phòng của Bộ trưởng Tư pháp California, Rob Bonta. Thư thông báo rằng vào ngày 9 tháng 5, Christie's phát hiện mình là nạn nhân của một sự cố an ninh mạng và đã hợp tác với các chuyên gia an ninh mạng bên ngoài và cơ quan thực thi pháp luật. Thư cũng nói rằng Christie's đang cung cấp một dịch vụ giám sát gian lận và trộm danh tính miễn phí trong 12 tháng, gọi là CyEx Identity Defense Total, để thông báo về bất kỳ thay đổi nào trong báo cáo tín dụng từ Experian, Equifax và TransUnion. Thư có chữ ký của Ben Gore, Giám đốc điều hành của Christie's. Trang web của CyEx chỉ ra rằng giá trị tham chiếu của dịch vụ "Tổng số bảo vệ danh tính" là 19,99 USD mỗi tháng.

Người phát ngôn của Christie's từ chối bình luận về vụ kiện khi được yêu cầu bởi ARTnews. Trả lời câu hỏi về việc có thông báo vi phạm khác đã được gửi hay chưa, người phát ngôn ghi trong email rằng: "Thông báo vi phạm đã được gửi đến các cơ quan có thẩm quyền liên quan đến việc tiếp tục tuân thủ GDPR và các quy định quốc gia và tiểu bang liên quan".

Công ty luật Milberg Coleman Bryson Phillips Grossman, đại diện cho Maroulis, chưa có phản hồi về yêu cầu bình luận từ ARTnews.

Mặc dù bị cuộc tấn công mạng, Christie's vẫn thành công trong việc thu về tổng doanh thu là 114,7 triệu USD từ đấu giá của “Rosa de la Cruz” và Thế kỷ 21, cùng với 413 triệu USD từ đợt bán đấu giá “Buổi tối Thế kỷ 20” tại New York qua điện thoại, trực tiếp và trực tuyến qua nền tảng của Christie's.

Biên dịch: Phương Ạnh

Nguồn: ARTnews

https://www.artnews.com/art-news/news/christies-class-action-lawsuit-client-data-cyberattack-ransomhub-1234708936/