Le procureur général James récupère 1,25 million de dollars pour les consommateurs affectés par la violation de données de Carnival Cruise Line.

Pauvre Les pratiques de sécurité de Carnival Cruise Line ont exposé les informations personnelles
de Des milliers de New-Yorkais et de consommateurs dans tout le pays

L'État de New York recevra 44 000 dollars dans le cadre d'un accord multi-états avec la compagnie de croisières.

NEW YORK - Le procureur général James ainsi que 45 procureurs généraux ont récupéré aujourd'hui 1,25 million de dollars auprès de Carnival Cruise Line (Carnival) pour avoir compromis les informations personnelles de milliers d'employés et de consommateurs en raison de mauvaises pratiques de sécurité interne. Une violation de données de 2019 a exposé les informations personnelles de 180 000 employés et clients de Carnival dans tout le pays, dont 6 575 New-Yorkais. Carnival devra payer à New York 44 092,12 dollars de pénalités.

"Carnival Cruise Line n'a pas réussi à stocker et à sauvegarder de manière sécurisée les informations personnelles de milliers de consommateurs", a déclaré James, procureur général de . "À l'ère du numérique, les entreprises doivent renforcer leurs mesures de confidentialité des données pour protéger les consommateurs contre la fraude. Les New-Yorkais en vacances ne devraient pas avoir à craindre que leurs informations personnelles soient exposées. L'accord conclu aujourd'hui obligera Carnival à mettre fin à ses pratiques irresponsables en matière de sécurité des données.

En mars 2020, Carnival a signalé publiquement une violation de données dans laquelle un acteur non autorisé a eu accès à certains comptes de messagerie des employés de Carnival. La violation comprenait des noms, des adresses, des numéros de passeport, des numéros de permis de conduire, des informations sur les cartes de paiement, des informations médicales et un nombre relativement faible de numéros de sécurité sociale. 

Les notifications de violation envoyées aux bureaux des procureurs généraux ont indiqué que Carnival a d'abord pris conscience d'une activité de messagerie suspecte à la fin du mois de mai 2019, soit environ 10 mois avant que Carnival ne signale la violation. Une enquête multi-états s'en est suivie, se concentrant sur les pratiques de Carnival en matière de sécurité des e-mails et sur la conformité aux lois des États en matière de notification des violations. Les violations de données "non structurées", comme celle de Carnival, concernent des informations personnelles stockées dans des courriers électroniques et d'autres plateformes désorganisées. Les entreprises n'ont pas de visibilité sur ces données, ce qui rend la notification des violations plus difficile et fait courir des risques supplémentaires aux consommateurs en cas de retard.

Dans le cadre de l'accord conclu aujourd'hui, Carnival a accepté une série de dispositions visant à renforcer ses pratiques en matière de sécurité des e-mails et de réponse aux violations, notamment :

  • Mettre en œuvre et maintenir un plan de réponse et de notification des violations ;
  • Exiger une formation à la sécurité du courrier électronique pour les employés, y compris des exercices de phishing dédiés ;
  • Mise en place d'une authentification multifactorielle pour l'accès au courrier électronique à distance ;
  • Exiger l'utilisation de mots de passe forts et complexes, la rotation des mots de passe et le stockage sécurisé des mots de passe pour les politiques et procédures relatives aux mots de passe ;
  • Maintenir des outils d'analyse du comportement améliorés pour enregistrer et surveiller les événements de sécurité potentiels sur le réseau de l'entreprise ; et,
  • Procéder à une évaluation indépendante de la sécurité des informations, conformément aux règlements antérieurs relatifs aux violations de données.

New York a rejoint l'enquête et le règlement avec l'Alabama, l'Alaska, l'Arizona, l'Arkansas, le Colorado, le Connecticut, le Delaware, le District de Columbia, la Floride, la Géorgie, Hawaï, l'Idaho, l'Indiana, l'Iowa, le Kansas, le Kentucky, la Louisiane, le Maine, le Maryland, le Massachusetts, le Michigan, Minnesota, Montana, Nebraska, Nevada, New Hampshire, New Jersey, New Mexico, Caroline du Nord, Dakota du Nord, Ohio, Oklahoma, Oregon, Pennsylvanie, Rhode Island, Caroline du Sud, Dakota du Sud, Tennessee, Utah, Vermont, Virginie, Washington, Virginie occidentale, Wisconsin et Wyoming.

Cette affaire a été traitée par le chef de bureau adjoint Clark Russell du bureau de l'Internet et de la technologie, sous la supervision du chef de bureau Kim Berger. Le Bureau of Internet and Technology fait partie de la Division of Economic Justice et est dirigé par le Chief Deputy Attorney General Chris D'Angelo. La Division de la justice économique est supervisée par la première adjointe du procureur général, Jennifer Levy.