Indijski tehnološki gigant Infosys Limited pristao je da plati 17,5 miliona dolara za rješavanje šest grupnih tužbi zbog značajne povrede podataka u američkoj podružnici Infosys McCamish Systems LLC (McCamish).
Nagodba, objavljena 14. marta 2025., rješava optužbe vezane za incident cyber sigurnosti koji je kompromitovao lične podatke oko 6,5 miliona pojedinaca širom Sjedinjenih Država .
Sajber incident između 29. oktobra i 2. novembra 2023. uključivao je neovlašćeni pristup McCamishovim sistemima, praćen eksfiltracijom podataka i primenom ransomware-a.
Grupa LockBit ransomware preuzela je odgovornost za napad. Navodno je šifrovao više od 2.000 korporativnih sistema i zahtijevao isplatu otkupnine.
Detalji kršenja i poravnanja
U regulatornom podnesku Komisiji za hartije od vrijednosti (SEC), Infosys je otkrio da su McCamish i tužioci učestvovali u posredovanju 13. marta 2025. godine, što je rezultiralo načelnim sporazumom.
Prema predloženim uslovima nagodbe, McCamish će uplatiti 17,5 miliona dolara u fond za rješavanje svih neriješenih sudskih sporova.
“Ovaj predloženi sporazum bi riješio sve neriješene grupne tužbe i riješio sve optužbe iznesene u ovoj stvari”, naveo je Infosys u svom podnesku berzama.
Kompanija je naglasila da će nagodba riješiti optužbe bez priznavanja odgovornosti. Incident u vezi sa sajber-bezbjednošću značajno je uticao na McCamisha, specijalizovanu za životno osiguranje i softverska rešenja za penzionisanje za američko tržište.
U aprilu 2024. McCamish je izvijestio da je oko 6,5 miliona pojedinaca pogođeno kršenjem podataka, što je značajno povećanje u odnosu na prvobitno objavljenu cifru od 57.000.
Kompromitovane lične informacije (PII) uključivale su imena, adrese, brojeve socijalnog osiguranja, brojeve vozačke dozvole, datume rođenja, adrese e-pošte, korisnička imena, lozinke, informacije o finansijskim računima i medicinske podatke.
Pogođeni su klijenti velikih finansijskih institucija, uključujući Bank of America i Fidelity Investments Life Insurance Company.
Nakon kršenja, McCamish je implementirao sveobuhvatne protokole za odgovor na incidente, radeći sa stručnjacima za kibernetičku sigurnost kako bi ublažio kompromis.
Kompanija je izvijestila da je do 31. decembra 2023. godine “značajno sanirala i obnovila pogođene aplikacije i sisteme”.
Sajber incident je rezultirao značajnim finansijskim implikacijama za Infosys, uključujući gubitak ugovorenih prihoda i približno 38 miliona dolara troškova vezanih za sanaciju, restauraciju, komunikacijske napore, istražne procese, analize i pravne usluge.
Šest grupnih tužbi objedinjeno je pritužbom podnesenom u ime svih stanovnika SAD-a čije su osobne informacije kompromitovane.
Tužbe su se odnosile na nemar, propust da se sprovedu adekvatne mere sajber bezbjednosti i odloženo obaveštenje pogođenim pojedincima.
Predloženi uslovi poravnanja ostaju predmet potvrde i dužne pažnje tužitelja, finalizacije sporazuma o nagodbi i preliminarnog i konačnog sudskog odobrenja.
Nakon odobrenja, sporazum će također riješiti povezane grupne tužbe protiv McCamishovih kupaca.
Izvor: CyberSecurityNews
