Por Pablo Schot
STAMFORD — Webster Bank enfrenta varias demandas que alegan que una violación de datos hace varios meses que afectó a más de 158,000 clientes en Connecticut resultó de una protección inadecuada de la información del cliente y que la compañía exacerbó la interrupción con una comunicación tardía.
Presentadas este mes por clientes de Connecticut y Massachusetts, en el Distrito de EE. UU. en Connecticut, las demandas colectivas afirman que los demandantes y otros clientes se vieron gravemente afectados por el incidente, que involucró a un proveedor externo que brindaba un servicio de detección de fraude a la empresa con sede en Stamford.
“A pesar de las afirmaciones de los demandados de que Webster Bank proporcionó sólidos servicios de protección de datos, en realidad, el programa de seguridad de Webster Bank (y el programa de los proveedores a los que Webster Bank confió información), su toma de decisiones con respecto a qué proveedores confiar los datos de los clientes y su el monitoreo de esos vendedores, fueron lamentablemente inadecuados”, dijo una de las demandas, presentada el 15 de mayo, cuyos demandantes son tres residentes de Connecticut y un residente de Massachusetts. “Los sistemas vulnerables y defectuosos de Webster Bank y sus agentes que contenían datos valiosos, incluido el demandante y el miembro de la clase (información de identificación personal), eran una invitación abierta para la intrusión y la exfiltración por parte de los ciberdelincuentes, que buscaban explotar esta valiosa información”.
Otra demanda, presentada el lunes por un residente de Connecticut, dijo que “la información privada se vio comprometida debido a los actos y omisiones negligentes y/o descuidados de los demandados y su falta de protección de la información privada del demandante y los miembros de la clase”.
La otra denuncia fue presentada el 3 de mayo por dos residentes de Seekonk, Massachusetts.
“La exposición de la propia (información de identificación personal) a los ciberdelincuentes es una campana que no se puede quitar”, dijo su demanda. “Antes de la violación de datos, la información privada del demandante y la clase era exactamente eso: privada. Ya no. Ahora, su información privada está permanentemente expuesta y no es segura”.
Webster se negó a comentar sobre las demandas, que buscan cantidades no especificadas de daños. Pero dijo en una declaración escrita que la compañía “se comunicó con los reguladores y afectó a los clientes de Webster. Los propios sistemas de Webster no se han visto comprometidos ni afectados por este incidente. Pedimos disculpas por las molestias que esto causó a nuestros clientes”.
El CEO de la compañía, John Ciulla, discutió la respuesta de la compañía a la violación de datos durante una llamada de ganancias el 20 de abril.
“Es un proveedor externo que usamos para monitorear el fraude que experimentó el incidente de seguridad de datos y tuvo la liberación de nuestra información”, dijo Ciulla. “Nos hemos comunicado con los reguladores y los clientes. Ninguno de nuestros sistemas se vio afectado. Y creemos que no habrá un impacto financiero material para Webster, con respecto a todos los aspectos de dejar eso atrás”.
La violación comenzó el 27 de noviembre cuando un tercero no autorizado obtuvo información de identificación personal de los clientes al acceder a los sistemas del proveedor externo Guardian Analytics, descargar archivos que contenían nombres, números de cuentas bancarias y números de seguro social, según la demanda presentada el 15 de mayo. El acceso no autorizado pasó desapercibido hasta el 22 de enero, y los datos robados se encontraron a la venta en la “web oscura”, según la demanda.
Las demandas afirman que, a pesar de que Webster se enteró de la violación de datos el 26 de enero, el banco no comenzó a notificar a los clientes hasta el 10 de abril.
“El aviso de incumplimiento del demandado ofuscó la naturaleza del incumplimiento y la amenaza que publicó, negándose a decirles a sus clientes cuántas personas se vieron afectadas, cómo ocurrió el incumplimiento o por qué el demandado tardó casi tres meses en comenzar a notificar a las víctimas que los piratas informáticos habían obtenido acceso. a la información altamente privada de los clientes”, dice la demanda presentada por los residentes de Massachusetts. “El hecho de que el acusado no informara oportunamente la violación de datos hizo que las víctimas fueran vulnerables al robo de identidad sin ninguna advertencia para monitorear sus cuentas financieras o informes de crédito para evitar el uso no autorizado de su (información de identificación personal)”.
Las demandas también explicaron el impacto del incidente en los clientes.
“Como resultado de la violación de datos, los demandantes sufrieron angustia emocional como resultado de la divulgación de su (información de identificación personal), que creían que estaría protegida contra el acceso y la divulgación no autorizados, incluida la ansiedad por la visualización, venta y acceso de terceros no autorizados. /o usar su (información de identificación personal) con fines de robo de identidad y fraude”, dice la demanda presentada el 15 de mayo. “Los demandantes están muy preocupados por la identidad.