Violación de Datos
Este elemento es una profundización de los cursos y guías de Lawi. Ofrece hechos, comentarios y análisis sobre este tema. [aioseo_breadcrumbs]
Concepto
Las infracciones de datos son eventos potencialmente fatales para las empresas, especialmente para aquellos que proporcionan productos o servicios que requieren el almacenamiento de datos personales.
Con la implementación, en Europa, del Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) en mayo del dos mil dieciocho, las violaciones de datos se volvieron mucho más aterradoras para las organizaciones.
Una violación de datos es la divulgación de información confidencial a una persona o entorno no autorizado o no confiable.
Quizás recuerde que en 2017 se informó que Yahoo sufrió una violación de datos que comprometió 3 mil millones de cuentas; cada usuario de yahoo se vio afectado por la fuga de datos que eventualmente (finalmente) se atribuyó a los piratas informáticos rusos.
Si bien puede estar pensando que todas las violaciones de datos las realiza alguien que se sienta en una sala oscura con una dirección IP anónima, estaría equivocado. La piratería se ha convertido en una industria con empresas dedicadas que tienen objetivos que alcanzar y cuotas que cumplir. Y no todas las violaciones de protección de datos se realizan exclusivamente detrás de la pantalla de una computadora.
Uber es otra empresa que ha estado en el centro de atención por todas las razones incorrectas relacionadas con las fugas de datos. A fines de 2016, la compañía se dio cuenta de que habían sufrido una violación de la protección de datos que dejaba vulnerables a 57 millones de usuarios y conductores de Uber. Y, en lugar de informar rápidamente a sus clientes y trabajadores afectados de la brecha, en lugar de eso decidieron pagar $ 100,000 a los hackers para mantener las cosas en calma.
Este tipo de ocurrencias son exactamente lo que la ley GDPR de la UE busca eliminar.
Las organizaciones que sufran una violación de datos debido al incumplimiento de GDPR recibirán una multa del 2% de su facturación anual global o de € 20 millones (lo que sea mayor); uno esperaría que esto sea suficiente para asustar a cualquier organización para que proteja los datos de sus clientes.
Uno de los requisitos del GDPR es que las organizaciones informen inmediatamente a los sujetos de los datos sobre cualquier instancia de violación de datos. Esto podría significar la diferencia entre una organización que sufre o evita las grandes multas, siempre que la fuga de datos no se deba al incumplimiento. Si una organización compatible con GDPR sufre una violación de datos e inmediatamente (dentro de las 72 horas) informa a las personas y autoridades afectadas, y también puede demostrar que cumple con la ley, es posible que la organización no sufra las graves consecuencias. Las organizaciones también deberán describir las consecuencias de la infracción.
Protegerse contra las violaciones de datos no es una tarea sencilla.Si, Pero: Pero hay acciones clave que deben tomarse que proporcionarán una base para una buena política de protección de datos. Las medidas de cifrado siempre son un buen lugar para comenzar, pero las organizaciones también deben realizar pruebas y auditorías periódicas para garantizar que todas las medidas funcionen correctamente. El Oficial de Protección de Datos (DPO) debe revisar constantemente los sistemas implementados y mantener un registro de dichos sistemas para comunicarlos a los organismos reguladores pertinentes.
Autor: Williams
Algunas Consideraciones Legales
Investigaciones y Acciones de Ejecución
Una empresa víctima de una violación de datos puede convertirse rápidamente en el objetivo de una investigación estatal o federal. Por ejemplo, un minorista que mantiene información de tarjetas de crédito puede sufrir una violación de datos, y la Comisión Federal de Comercio (FTC, por sus siglas en inglés), los fiscales generales y los comités del Congreso, por no mencionar las numerosas Autoridades Europeas de Protección de Datos y otros reguladores internacionales de privacidad y ciberseguridad, pueden abrir investigaciones sobre la respuesta del minorista al incidente y sus prácticas de seguridad de datos. Al mismo tiempo, el FBI, el Servicio Secreto de los EE. UU. y las entidades autorreguladoras, como la industria de tarjetas de pago, pueden participar en la investigación, lo que puede llevar a consecuencias complicadas para la empresa.
Violaciones de datos
Ya sea en el sector minorista, servicios financieros, atención médica, comunicaciones, tecnología, consultoría o transporte, las empresas se enfrentan a una gran cantidad de requisitos de notificación de incumplimiento y seguridad de datos.
Preparación: identificar, proteger, detectar, responder y recuperarse de los ataques cibernéticos
La ciberseguridad es un tema clave de gobierno corporativo para todas las organizaciones, independientemente de su sector o tamaño. Si bien los requisitos de la ley local relacionados con los directores y el gobierno cibernético varían, una serie de ataques cibernéticos de alto perfil en todo el mundo subraya la importancia de las juntas, independientemente de la ubicación, de tomar posesión y comprender las exposiciones cibernéticas de su organización. (Tal vez sea de interés más investigación sobre el concepto). El mejor momento para preparse, claro está, es antes de que el ataque tenga lugar.
Territorialidad de los Datos
Esta sección se centra en un aspecto importante del “dónde” de los datos electrónicos dada la naturaleza de las tecnologías actuales de Internet: los problemas de territorialización y búsqueda de la Cuarta Enmienda Constitucional de los EE. UU..
La territorialidad ocupa un lugar preponderante en la jurisprudencia de Estados Unidos, especialmente en lo que se refiere a la autoridad del gobierno para buscar y confiscar.
Informaciones
Los derechos de la Cuarta Enmienda se refieren a si la búsqueda o la incautación tiene lugar territorial o extraterritorialmente; las autoridades de vigilancia del gobierno dependen de si el objetivo está ubicado dentro de los Estados Unidos o no; y la jurisdicción de la orden judicial se extiende, con excepciones limitadas, solo hasta el borde de la frontera.
Puntualización
Sin embargo, el auge de los datos electrónicos desafía la territorialidad en su núcleo. La territorialidad, después de todo, depende de la capacidad de definir el “aquí” y “allí”, y supone que el “aquí” y “allí” tienen un significado normativo. La facilidad y la velocidad con la que los datos viajan a través de las fronteras, los caminos aparentemente arbitrarios que toma, y la desconexión física entre dónde se almacenan los datos y dónde se accede a ellos, pruebe críticamente estas premisas fundamentales. ¿Por qué los derechos de privacidad o el acceso del gobierno a la evidencia solicitada dependen de dónde se almacena un documento en un momento dado? A la inversa, ¿por qué debería permitirse al Estado A acceder de manera unilateral a los datos ubicados en el Estado B, simplemente porque la tecnología le permite hacerlo, sin tener en cuenta las reglas del Estado B que rigen el acceso de la ley a los datos que se encuentran dentro de sus fronteras? Este artículo aborda estos desafíos. Explora las características únicas de los datos y destaca las formas en que los datos socavan las suposiciones de larga data sobre el vínculo entre la ubicación de los datos y los derechos y obligaciones que deben aplicarse. Específicamente, argumenta que una Cuarta Enmienda con base territorial no protege adecuadamente a “las personas” que pretende cubrir.
Otros Elementos
Por otro lado, el artículo advierte contra el tipo de aplicación de la norma (generalmente por los organismos y autoridades públicas, incluido las fuerzas y cuerpos de seguridad y orden público) extraterritorial unilateral que fomentan los datos electrónicos, en el cual las naciones obligan a la producción de datos ubicados en cualquier parte del mundo, sin tener en cuenta los intereses soberanos de otros estados-nación.
Lo anterior se enfoca en los temas de la Cuarta Enmienda, pero vale la pena señalar que los mismos problemas surgen a través de muchos otros temas legales y regulatorios a través de las fronteras: datos financieros y bancarios para fines de regulación de las instituciones financieras, comunicaciones electrónicas a través de las fronteras (véase qué es, su definición, o concepto jurídico, y su significado como “boundaries” en derecho anglosajón, en inglés) que puede o no constituir una “solicitud de representación” a los fines de la regulación de valores de EE. UU., el descubrimiento de conformidad con las normas federales de procedimiento civil y una amplia gama de cuestiones de jurisdicción tanto en el derecho estadounidense como internacional.
Las cuestiones equivalentes podrían plantearse con respecto a las jurisdicciones no estadounidenses, por supuesto, con más de la posibilidad de requisitos legales en conflicto. Este tema abre un gran debate con enormes implicaciones en el mundo jurídico y político práctico del derecho interno y el derecho transfronterizo (como el discutido caso de garantías de Microsoft, planteado ante el Segundo Circuito, en Estados Unidos, en septiembre de 2015, del que se trata más abajo.)
El caso de garantías de Microsoft
Para aquellos que no están familiarizados con el caso, la disputa comenzó en diciembre de 2013, cuando el gobierno cumplió una orden de arresto (o de detención; véase qué es, su concepto jurídico; y también su definición como “Arrest Warrant” en derecho anglosajón, en inglés) en Microsoft, obligando a la producción de ciertos correos electrónicos. Microsoft se negó a cumplir, argumentando que los correos electrónicos estaban almacenados en Irlanda, que la autoridad de la orden del gobierno no se extendía extraterritorialmente y que, por lo tanto, la orden no era válida.Si, Pero: Pero hasta ahora su lucha no ha tenido éxito. Tanto el magistrado como el juez de distrito se pusieron del lado del gobierno: dado que los datos de los empleados de Microsoft que operan en los Estados Unidos podían acceder y controlarse, la orden judicial era territorial, no extraterritorial; por lo tanto es válido.
Aunque a menudo se describe como un ” caso de privacidad “, no es realmente de lo que se trata el caso. Después de todo, el gobierno está procediendo por una orden de arresto (o de detención; véase qué es, su concepto jurídico; y también su definición como “Arrest Warrant” en derecho anglosajón, en inglés) basada en un hallazgo de causa probable. Nadie sugiere que la producción obligada sería una violación de la privacidad si los datos se almacenaran en los Estados Unidos. No se convierte en una violación de la privacidad simplemente porque los datos se almacenan en Irlanda. Dicho esto, el caso tiene importantes implicaciones de privacidad.. El caso plantea cuestiones fundamentales sobre la soberanía y la jurisdicción en un mundo cada vez más interconectado, con derechos de privacidad clave, y libertad de expresión (véase; y también libertad de creación de medios de comunicación, libertad de comunicación, libertad de información, libertad de cátedra y la Convención sobre el Derecho Internacional de Rectificación, adoptada en Nueva York el 31 de marzo de 1953) y derechos de asociación relacionados, activando la respuesta a esas cuestiones de soberanía y jurisdicción. (Tal vez sea de interés más investigación sobre el concepto) (examine más sobre estas cuestiones en la presente plataforma online de ciencias sociales y humanidades). Refleja un nuevo orden mundial (o global) en el que el Estado A puede obligar a la producción de datos localizados en el Estado B, sin que el agente del gobierno o el empleado de la empresa consulten los datos que salen del Estado A. Y el caso plantea preguntas clave sobre quién lo hace, y debe —Controle el acceso a los datos en tal situación: ¿Estado A o Estado B?
Si Microsoft gana, eso significa datos, en lugar de corporativos, controles de ubicación. (Tal vez sea de interés más investigación sobre el concepto).Si, Pero: Pero hay dos problemas clave con esta posición. (Tal vez sea de interés más investigación sobre el concepto). Primero, simplemente no tiene sentido que la ubicación de los datos sea determinante de las reglas que se aplican.
Informaciones
Los datos son altamente móviles, divisibles y, en general, están sujetos a control de terceros. La movilidad de los datos hace que la ubicación de los datos sea una base de jurisdicción altamente inestable y potencialmente fugaz. Su divisibilidad significa que los datos relevantes (especialmente cuando uno comienza a considerar grandes bases de datos) puede que ni siquiera se encuentren en una sola ubicación, sino que se dividan y se distribuyan en múltiples jurisdicciones. Y el hecho del control de un tercero significa que el propietario de los datos (la persona con interés posesivo en los datos) a menudo no tiene idea de la ruta por la cual sus datos viajan de un lugar a otro o dónde se almacenan en un momento dado —Y, por lo tanto, no ha tomado la decisión consciente de atarse a las reglas de esa jurisdicción. (Tal vez sea de interés más investigación sobre el concepto). Como resultado, la ubicación de los datos resulta ser un determinante de la jurisdicción a menudo arbitrario e inestable. No es en absoluto sorprendente que los funcionarios encargados de hacer cumplir la ley (no solo en el Caso de Microsoft, pero en todo el mundo) se irritan cuando no pueden obligar a la producción de datos buscados, simplemente porque se almacenan fuera de su territorio.
Segundo, y relacionado, si la jurisdicción gira en la ubicación, esto proporciona un fuerte incentivo para la localización de datos. Si Microsoft gana, se incentivará a los gobiernos a exigir que sus ciudadanos y residentes almacenen sus datos a nivel local, a fin de garantizar la jurisdicción sobre, y por lo tanto, el acceso a, los datos. Si tiene éxito, esto tendrá costos (o costes, como se emplea mayoritariamente en España) (o costes, como se emplea mayoritariamente en España) significativos para la eficiencia y efectividad de Internet en su conjunto.
A la inversa, la posición del gobierno también es defectuosa, podría decirse que crea más problemas de los que resuelve. Marca el comienzo hasta el final del control soberano sobre la privacidad dentro de sus fronteras. Estados Unidos no es el único gobierno que afirma una amplia autoridad para recopilar datos, dondequiera que se encuentren. El Reino Unido dice que puede obligar a las compañías a producir datos, donde sea que se encuentren, siempre que la compañía esté operando en su jurisdicción. (Tal vez sea de interés más investigación sobre el concepto). Brasil ha considerado una legislación similar, y otras naciones están siguiendo su ejemplo. Si bien la ley de los Estados Unidos actualmente prohíbe a las empresas con sede en los EE. UU. Cumplir con tales solicitudes de gobiernos extranjeros (referido a las personas, los migrantes, personas que se desplazan fuera de su lugar de residencia habitual, ya sea dentro de un país o a través de una frontera internacional, de forma temporal o permanente, y por diversas razones) cuando se trata de contenido, como el contenido de los correos electrónicos, no contiene restricciones similares al acceso de gobiernos extranjeros (referido a las personas, los migrantes, personas que se desplazan fuera de su lugar de residencia habitual, ya sea dentro de un país o a través de una frontera internacional, de forma temporal o permanente, y por diversas razones) a información no relacionada con el contenido, como por ejemplo información, tiempo y duración de las sesiones, a / desde líneas en correos electrónicos y direcciones IP. Los informes de transparencia indican que los gobiernos reciben y responden a decenas de miles de solicitudes de información no de contenido de gobiernos extranjeros (referido a las personas, los migrantes, personas que se desplazan fuera de su lugar de residencia habitual, ya sea dentro de un país o a través de una frontera internacional, de forma temporal o permanente, y por diversas razones) cada año. A medida que nuestras vidas se vuelvan cada vez más digitalizadas, el volumen de tales solicitudes solo aumentará con el tiempo. Al igual que el alcance de la información que se puede aprender de tales datos.
Además, se vuelve cada vez más difícil para las compañías estadounidenses mantener la línea incluso con respecto a los datos de contenido si los Estados Unidos dicen que pueden obligar a la producción de dichos datos donde sea que se encuentren. Esto puede ser una preocupación menor cuando Estados Unidos o el Reino Unido están obligando a la producción de datos, pero ¿imaginan una autoridad similar en manos de, por ejemplo, China o Rusia? Uno puede imaginar una carrera hacia el fondo, con los esfuerzos del Estado A para implementar protecciones sólidas de privacidad erosionadas completamente por la capacidad del Estado B para acceder a los datos almacenados en el Estado A. Más cinéticamente, se puede imaginar a los agentes de la ley en un estado con fuertes protecciones de privacidad buscar un socio extranjero para obligar a la producción de datos buscados como un medio en torno a sus propias restricciones de acceso.
En segundo lugar, coloca a las empresas en medio de una inevitable marea de leyes en conflicto. ¿Qué sucede cuando las leyes de un estado requieren la divulgación de datos, pero las leyes de otro estado lo prohíben? Esos problemas de conflicto obviamente no son nuevos, pero deben minimizarse, no exacerbarse. El creciente interés por la aplicación de la norma (generalmente por los organismos y autoridades públicas, incluido las fuerzas y cuerpos de seguridad y orden público) en tales datos significa que ocurrirá lo contrario; estos problemas de conflicto seguramente aumentarán con el tiempo.
En tercer lugar, fomenta otra forma de localización de datos, ya que el gobierno exige que sus ciudadanos y residentes utilicen proveedores locales para garantizar la capacidad del estado para obligar. Esto tendría enormes costos (o costes, como se emplea mayoritariamente en España) (o costes, como se emplea mayoritariamente en España) para las empresas de EE. UU., como lo ejemplifica en parte el hecho de que tantos proveedores de telecomunicaciones importantes presentaron informes amicus en nombre de Microsoft. Incluso sin leyes que requieran el uso de proveedores locales, los clientes pueden huir cada vez más de los proveedores de EE. UU.Entre las Líneas En un esfuerzo por proteger sus datos del alcance del gobierno de EE. UU.
Todo esto apunta a la conclusión de que la demanda en sí misma no será, y no debería, ser la última palabra. Más bien, el valor del caso es que pone los problemas en el centro de atención. (Tal vez sea de interés más investigación sobre el concepto). Ahora es el momento de reflexionar de manera significativa sobre cómo debería operar la aplicación de la norma (generalmente por los organismos y autoridades públicas, incluido las fuerzas y cuerpos de seguridad y orden público) en este mundo cada vez más interconectado, y el desarrollo de nuevos estándares de leyes nacionales e internacionales para regular el control de las solicitudes transfronterizas de datos. Desafortunadamente, no hay respuestas fáciles, pero aquí sugiero algunas cosas a considerar.
* Reforma del Tratado de Asistencia Legal Mutua (MLAT). Los MLAT son tratados que rigen el acceso de las fuerzas del orden público a la evidencia ubicada en la jurisdicción de otra nación. (Tal vez sea de interés más investigación sobre el concepto). De hecho, es la posición de Microsoft que, en lugar de exigir los datos de Microsoft, debe solicitar al gobierno de Irlanda los datos conforme al MLAT entre las dos naciones. El problema desde la perspectiva del gobierno es que el proceso MLAT es notoriamente lento (aunque en este caso el gobierno irlandés se ha comprometido a responder de manera “expedita”). El gobierno de los Estados Unidos, por ejemplo, toma un promedio de diez meses para procesar dichas solicitudes; Algunos casos tardan mucho más.
Múltiples voces ahora están llamando simplificado y más eficiente el proceso MLAT.Si, Pero: Pero si bien un sistema MLAT más eficiente sería un cambio bienvenido, tales esfuerzos aún requieren una resolución de la cuestión jurisdiccional básica en cuestión en Microsoftcaso. Después de todo, el proceso MLAT solo comienza donde termina la jurisdicción. (Tal vez sea de interés más investigación sobre el concepto). La ubicación de los datos es una respuesta, ya que Microsoft ahora está abogando, pero tiene los defectos mencionados anteriormente. La ubicación de la sede de la empresa o el lugar principal de operaciones, y / o la ciudadanía o la ubicación del usuario brindan otras opciones posibles. Ninguna respuesta es perfecta; Cada uno tiene su propio defecto.Si, Pero: Pero independientemente de lo que se decida, debe haber acuerdo entre las naciones sobre cómo definir la jurisdicción. (Tal vez sea de interés más investigación sobre el concepto). Esto no es algo que deba imponerse unilateralmente (es decir, por un juez de los Estados Unidos o un panel de jueces, como sucedería si el caso de Microsoft fuera el mundo final).
* No importa cómo se responda la pregunta jurisdiccional subyacente, ciertas válvulas de seguridad también deben considerarse para facilitar el acceso transfronterizo a los datos cuando se cumplen ciertas condiciones previas, lo que reduce parte de la creciente presión sobre el sistema MLAT. Uno podría imaginar, por ejemplo, un acuerdo con un puñado de naciones de ideas afines que permitirían a los gobiernos realizar solicitudes directamente a las compañías en ciertos tipos específicos de casos cuando se cumple un conjunto de referencia de requisitos de procedimiento y de fondo. Descubrir los detalles no será fácil, pero tampoco es imposible.
Detalles
Los acuerdos transfronterizos para el intercambio de datos financieros proporcionan un modelo posible. (Cualquier acuerdo de este tipo también debería ir acompañado de un cambio legislativo, al menos en los Estados Unidos).
Metadatos
También es hora de dirigir nuestra atención al tema de los metadatos que a menudo se pasa por alto. Las compañías estadounidenses reciben decenas de miles de solicitudes de metadatos por año de gobiernos extranjeros.Si, Pero: Pero no hay reglas, ni siquiera un conjunto de estándares aceptados, que rijan cuándo y en qué circunstancias pueden hacerlo. Si bien la mayoría de los proveedores con sede en EE. UU. tienen directrices internas y procedimientos de investigación que incorporan la privacidad y otras preocupaciones relacionadas con los derechos humanos, es un error atribuirle a las empresas la responsabilidad de desarrollar los estándares necesarios o asumir que las empresas del futuro serán las siguientes. Centrado en los derechos como los mejores de hoy. Cualquier acuerdo bilateral o multilateral también debe incluir normas que rigen el acceso a los metadatos, normas que también deberían estar codificadas en la legislación de los EE. UU.
Autor: Williams
Teorías del daño en Litigios por Violación de Datos
En 2016, el Comité Nacional Republicano contrató a una empresa llamada Deep Root Analytics para recopilar información de los votantes. La firma expuso accidentalmente aproximadamente 198 millones de registros personales de votantes. Esto fue de 1.1 terabytes de información personal que la empresa dejó en un servidor en la nube sin protección de contraseña durante dos semanas.
El 21 de junio de 2017, las víctimas presentaron una demanda colectiva en la corte de Florida contra Deep Root Analytics por daños resultantes de una violación de datos.
Donald Trump ha denunciado tales violaciones como “negligencia grave”. La demanda de Deep Root lo tomó en serio, usando esa cita como evidencia para hacer un reclamo sobre la teoría legal de la negligencia. La demanda demanda más de $ 5 millones en daños.
Los demandados en casos de violación de datos (en este caso, Deep Root Analytics es el demandado) a menudo impugnan una reclamación porque el alegato no incluye una lesión que sea (1) “concreta, particularizada y actual o inminente” (2) causado por el acusado, y (3) resarcible por un tribunal de justicia.
Para sobrevivir al desafío de estar de pie, un demandante puede demostrar daño a través de un daño real, que la violación del estatuto equivale a daño en sí mismo, o que habrá un daño futuro inminente.
¿Cómo mostramos daño?
Una demostración del daño real es lo más sencillo de defender ante un tribunal: esto funciona si tiene pruebas de la pérdida de dólares verdaderos.Si, Pero: Pero la exposición de los datos no necesariamente equivale a daños. ¿A cuántas personas, una vez que se violan sus datos, les robarán sus identidades? E incluso el costo (o coste, como se emplea mayoritariamente en España) (o coste, como se emplea mayoritariamente en España) de robo de identidad no tiene en cuenta los gastos a más largo plazo (véase más detalles en esta plataforma general) que resultan de las caídas en la calificación crediticia o el costo (o coste, como se emplea mayoritariamente en España) (o coste, como se emplea mayoritariamente en España) del tiempo empleado en tratar de evitar pérdidas. ¿Qué pasa con los datos como registros de salud, transcripciones educativas y, sí, información de los votantes?
(No en vano, cuando un hacker demostró públicamente en DEFCON la semana pasada que las máquinas de votación podían ser pirateadas, descubrió que muchas de las máquinas que había comprado en eBay aún tenían cientos de miles de registros de votantes almacenados. Mientras tanto, se enumeraron 10 millones de registros de votantes el mes pasado en eBay por $ 4, potencialmente una declaración política sobre el descuido de la sociedad. ¿Debe el descuido disminuir el valor de sus datos personales? El costo (o coste, como se emplea mayoritariamente en España) (o coste, como se emplea mayoritariamente en España) del daño a la víctima como resultado de las infracciones no necesariamente se relaciona con el precio de los datos para los compradores en la oscuridad web.)
Ocasionalmente, los tribunales han permitido que los demandantes procedan en base a la reclamación de que la violación de un estatuto por el acusado (persona contra la que se dirige un procedimiento penal; véase más sobre su significado en el diccionario y compárese con el acusador, público o privado) constituye un daño en sí mismo. Este año, el Tribunal de Apelaciones de EE. UU. Para el 3er. Circuito concluyó que una violación de la Ley Federal de Informes de Crédito otorgaba un derecho de acción privado a un demandante y equivalía a una lesión incluso sin una demostración adicional de daño porque el propósito mismo de la ley era para evitar la divulgación ilícita de información personal. El tribunal incluso dio a entender que los casos de violación de datos siempre conllevan un riesgo inminente de daños futuros y confieren una legitimación automática.Si, Pero: Pero esta inferencia fue particular para el tribunal y no ha sido afirmada. (En general, más allá del contexto de violación de datos, hay una división judicial sobre si una violación estatutaria confiere una posición de facto, o si existe la necesidad de una demostración más específica de la lesión. (Tal vez sea de interés más investigación sobre el concepto). El Tercer Circuito es el primer y único circuito hasta ahora que confiere legitimidad debido a una violación legal de la violación de datos, sin una muestra particularizada de lesiones concretas.)
Finalmente, hay una avenida para que los demandantes que aún no han sufrido un daño: la teoría del “daño futuro”. Esta teoría de la recuperación es que el acusado (persona contra la que se dirige un procedimiento penal; véase más sobre su significado en el diccionario y compárese con el acusador, público o privado) expuso erróneamente al demandante al riesgo de daño. Este es claramente el más apto para aplicar a las víctimas de violación de datos, pero está en conflicto con los requisitos de soporte de que el daño sea particularizado y concreto, o, simplemente, cuantificable. Muchos tribunales, incluido el Tribunal Supremo en Clapper v. Amnistía Internacional y Spokeo, Inc. v (examine más sobre estas cuestiones en la presente plataforma online de ciencias sociales y humanidades). Robins, han desestimado casos relacionados con lesiones potenciales debido a una violación de datos debido a que el inminente daño en particular era una norma difícil de cumplir.
Asignar un monto en dólares a daños por violaciones de datos presenta un desafío persistente. Este año, el 2º Circuito se unió al 1º, 3º y 4º Circuitos para exigir un aumento de la súplica para establecer lesiones a través de una teoría del daño futuro en casos de violación de datos.Entre las Líneas En Whalen v. Michaels Stores, el tribunal determinó que un mayor riesgo de fraude de identidad en el futuro que obligó al demandante a invertir en medidas preventivas estaba demasiado atenuado como para constituir una lesión real.
De manera similar, en el caso de Beck v. McDonald, el 4. ° Circuito determinó que la amenaza de daños futuros no era lo suficientemente inminente porque (1) habían transcurrido dos años desde la violación, lo que hacía que el riesgo de daños futuros fuera más improbable con el paso del tiempo; (2) la pregunta permanente surgió en el juicio sumario y, por lo tanto, ambas partes realizaron un extenso descubrimiento, durante el cual los demandantes no pudieron descubrir un solo caso de fraude de identidad; y (3) el tribunal se negó a hacer la misma inferencia que hicieron los circuitos 6 y 7: que ofrecer informes gratuitos de monitoreo de crédito era evidencia de una futura amenaza de daño.
Ataques
La dificultad y la inconsistencia con que los tribunales han aplicado los dos estándares es reveladora. Estas normas son difíciles de reconciliar: un deseo de rectificación o prevención de daños basado en la justicia, y un requisito legal de que los daños sean articulables en términos que desafían las violaciones de datos.Si, Pero: Pero este año, algunos ataques cibernéticos han adquirido nuevas características que proporcionan aún más textura en este paisaje.
Basado en la experiencia de varios autores, mis opiniones, perspectivas y recomendaciones se expresarán a continuación (o en otros lugares de esta plataforma, respecto a las características en 2026 o antes, y el futuro de esta cuestión):
Últimamente, hemos visto actos de agresión motivados por el Estado nacional que carecen de motivación financiera manifiesta o definible. El reciente ataque de NotPetya, que primero parece ser un ransomware, en realidad no parece ser una fuente de ingresos, sino un arma cibernética a nivel nacional diseñada para ser un “limpiador”, en el caso de NotPetya, eliminando el registro de arranque principal de una víctima. Incluso el infame ataque a la Oficina de Administración de Personal en 2015 parece haber sido motivado por un compromiso de datos a nivel de estado-nación, no por dólares.
Las teorías de recuperación pueden ser difíciles de aplicar a las violaciones de datos que no parecen crímenes que hemos visto antes. Tratamos de proteger a los consumidores de las compañías que no protegen sus datos y de los ladrones que usan la información para robar a las víctimas.Si, Pero: Pero rara vez en otro contexto veríamos a un ciudadano-consumidor individual evaluando cuándo y cómo presentar una demanda para una invasión de datos que se llevó a cabo en una vasta y probable escala de estado-nación. (Tal vez sea de interés más investigación sobre el concepto).Entre las Líneas En este nuevo panorama, donde las empresas son los árbitros de nuestra información privada en áreas tan variadas como la atención de la salud y la banca, podemos recurrir al sistema judicial para recurrir cuando las protecciones de datos de una empresa fallan. Y es difícil para los tribunales decidir cuáles son esos daños en este contexto.
La capacidad de demandar por daños sirve para varios propósitos, algunos en particular para un caso en cuestión y otros para acciones futuras. Un acuerdo a favor de un demandante puede compensarla por sus pérdidas, pero también puede exigirle un costo (o coste, como se emplea mayoritariamente en España) (o coste, como se emplea mayoritariamente en España) al demandado. A gran escala, es posible que deseamos permitir más daños contra compañías cuya negligencia lleva a violaciones de datos para aclarar a otras empresas los costosos pero evitables costos (o costes, como se emplea mayoritariamente en España) (o costes, como se emplea mayoritariamente en España) de la pérdida de datos.Si, Pero: Pero las fallas en el sistema actual se aclararon en un caso reciente: a fines de junio, Anthem acordó pagar $ 115 millones en una demanda por violación de datos, pero para esta semana se demostró que 18,500 registros más se habían visto comprometidos por la violación.. Cuando observamos brechas en los costos (o costes, como se emplea mayoritariamente en España) (o costes, como se emplea mayoritariamente en España) que son difíciles de calcular, es posible que tengamos que realinear nuestros motivos para permitir la reparación en los tribunales.
Autor: Williams
Universidades hackeadas
La información sobre 80,000 estudiantes en ocho campus de Cal State que tomaron un curso obligatorio en línea sobre acoso sexual, que fue proporcionado por un proveedor externo, fue supuestamente pirateada. Se expuso información como las contraseñas utilizadas para iniciar sesión en la clase, así como los nombres de inicio de sesión, las direcciones de correo electrónico emitidas por el campus, el género, la raza, el estado de la relación y la identidad sexual.
La información de identificación personal, como el Seguro Social, la tarjeta de crédito y los números de la licencia de conducir no se vio comprometida.
Cal State no está solo en ser una universidad importante a la que apuntan los piratas informáticos. Ni siquiera cerca. A principios de este verano comencé a hacer un seguimiento de las universidades que habían sido víctimas de ataques cibernéticos y / o violaciones de datos experimentadas. Según parece, más de 40 colegios y universidades han sufrido violaciones de información confidencial en los últimos tres años. El número verdadero es probablemente mucho, mucho más alto.
Informaciones
Los datos robados, y en algunos casos expuestos públicamente, incluyen información perteneciente a estudiantes, profesores, empleados e incluso solicitantes.
El caso de Cal State destaca los riesgos que enfrentan las instituciones académicas y casi cualquier otra organización grande que confíe en los proveedores para brindar servicios.
Algunos otros ejemplos recientes demuestran la variedad y amplitud de exposición que enfrentan las universidades:
- Penn State ha sido víctima de múltiples ataques cibernéticos sofisticados. Según un mensaje de mayo de 2015 del presidente de la universidad que describe dos ataques dirigidos a su Escuela de Ingeniería, Penn State fue notificado por primera vez por el FBI, y los informes de la prensa atribuyen los ataques a China. El Colegio de Artes Liberales de la universidad también ha sido atacado. Los esfuerzos de limpieza implicaron la interrupción de los servicios de tecnología del campus.
- Harvard también ha experimentado “una intrusión” en sus sistemas, aunque la atribución y los detalles de si la información personal ha sido expuesta no están claros. Harvard fue también una de las muchas escuelas que fueron atacadas por el grupo hacktivista Team Ghostshell en 2012, que dio a conocer datos de estudiantes y empleados.
- Auburn experimentó una violación de datos particularmente inusual, aparentemente como resultado de un problema técnico, no de un hackeo malicioso. Auburn había comprado los resultados de las pruebas estandarizadas de los estudiantes de secundaria con fines de marketing y divulgación. (Tal vez sea de interés más investigación sobre el concepto). La información personal relacionada con esas personas, más de 360,000, se expuso inadvertidamente públicamente en el sitio web de la universidad.
Entonces, ¿por qué las universidades son objetivo o están en riesgo de violaciones de datos inadvertidas? Creo que hay al menos algunas razones:
- En primer lugar, las universidades recopilan y retienen una gran cantidad de datos sobre muchas personas: información de identificación personal, como números de seguridad social, direcciones y direcciones de correo electrónico. La información del estudiante también incluye información educativa que está protegida por el estatuto federal. Para los empleados, tal vez información financiera adicional como números de cuentas de retiro y números de cuentas bancarias. Tal vez información de salud de estudiantes y empleados. Y para las universidades que operan sistemas médicos y hospitalarios, toda la información personal de salud que acompaña a ese territorio y está sujeta a un entorno normativo intensificado.
- Las universidades también hacen investigación. (Tal vez sea de interés más investigación sobre el concepto). Algunas de esas investigaciones pueden ser financiadas por el gobierno de los Estados Unidos. Incluso puede ser clasificado. Algunos de ellos pueden ser científicos, de vanguardia o de otro modo interesantes para naciones extranjeras desde una perspectiva económica, de propiedad intelectual o de relaciones internacionales (más detalles sobre relaciones internacionales y las tensiones geopolítica en nuestra plataforma).
- Su infraestructura de tecnología de la información y su estructura de liderazgo (véase también carisma) pueden estar centradas en la universidad, lo que reduce la responsabilidad de los líderes y gerentes en los colegios, escuelas o escuelas individuales. Si el sistema de tecnología de la información de una escuela está controlado y administrado a nivel universitario, es probable que la administración de información individual y el liderazgo (véase también carisma) escolar tengan menos visibilidad y menos responsabilidad.para la protección de la información de su estudiante, facultad, empleado y solicitante en particular. Debido a su estructura de liderazgo (véase también carisma) descentralizado, así como, en muchos entornos académicos, una tradición que incluye el gobierno de los comités, creo que las universidades enfrentan desafíos particulares al hacerse cargo de evaluar su exposición y planes de seguridad cibernética.
- Las universidades son extremadamente conscientes del presupuesto. La educación superior se ve afectada por la expansión continua de los costos (o costes, como se emplea mayoritariamente en España) (o costes, como se emplea mayoritariamente en España) y la necesidad de controlar la matrícula.
Más Información
Las universidades en el extremo superior de los estándares académicos de admisión compiten por estudiantes calificados, incluidos los estudiantes que pueden pagar la matrícula que está fuera del alcance de muchos estudiantes y familias. Gastar dinero en consultoría externa, asistencia legal y técnica para implementar sistemas de detección apropiados y planes de respuesta a incidentes significativos a menudo no es una prioridad. Es probable que haya una percepción de que no muchos adultos jóvenes realmente van a decidir a dónde ir a la universidad basándose en la calidad de las prácticas de seguridad y privacidad de la tecnología de la información de una escuela.
Por otra parte, tal vez no sea una sugerencia tan escandalosa después de todo. No hace falta decir que los estudiantes universitarios y graduados de hoy son usuarios sofisticados de tecnología. Y si bien es posible que no tomen la decisión de inscribirse según la calidad del plan de respuesta a incidentes de la escuela y las prácticas de tecnología de la información, es muy posible que tengan en cuenta la sofisticación tecnológica y el uso de la tecnología en la enseñanza y el aprendizaje para decidir dónde inscribirse. Una escuela que experimenta una brecha de datos significativa puede verse obligada a interrumpir significativamente el uso de sistemas tecnológicos por parte de los profesores y los estudiantes, como el correo electrónico, el almacenamiento de datos y los sitios web de los cursos, mientras limpia el desorden.
📬Si este tipo de historias es justo lo que buscas, y quieres recibir actualizaciones y mucho contenido que no creemos encuentres en otro lugar, suscríbete a este substack. Es gratis, y puedes cancelar tu suscripción cuando quieras: Qué piensas de este contenido? Estamos muy interesados en conocer tu opinión sobre este texto, para mejorar nuestras publicaciones. Por favor, comparte tus sugerencias en los comentarios. Revisaremos cada uno, y los tendremos en cuenta para ofrecer una mejor experiencia.Autor: Williams
Recursos
[rtbs name=”informes-jurídicos-y-sectoriales”][rtbs name=”quieres-escribir-tu-libro”]Notas
Véase También
Bibliografía
▷ Esperamos que haya sido de utilidad. Si conoces a alguien que pueda estar interesado en este tema, por favor comparte con él/ella este contenido. Es la mejor forma de ayudar al Proyecto Lawi.
Anthem Health Insurance está reportando una vez más una violación de datos, esta vez 18,500 miembros recibieron sus registros por correo electrónico a la dirección de correo electrónico privada de un empleado de un proveedor externo.
La primera indicación de que hubo un problema se produjo en abril, cuando la empresa de coordinación de seguros LaunchPoint Ventures de Anthem se dio cuenta de que uno de sus empleados probablemente estaba involucrado en actividades de robo de identidad, dijo Anthem en un comunicado. El 28 de mayo, LaunchPoint descubrió que el trabajador había abusado de los datos de otra compañía y había enviado por correo electrónico un archivo con los registros de membresía de Anthem a su cuenta personal el 8 de julio de 2016.
LaunchPoint investigó el incidente y el 12 de junio informó que el correo electrónico contenía Información de salud protegida y dos días después informó el caso a Anthem.
“La información personal en el archivo incluía principalmente los números de identificación de Medicare (HICN), que incluyen un número de Seguro Social, números de identificación del plan de salud (HCID), números de contrato de Medicare y fechas de inscripción. También se incluyó un número muy limitado de apellidos y fechas de nacimiento ”, informó Anthem.
Los miembros involucrados están siendo contactados.
El empleado de LaunchPoint ya ha sido despedido y arrestado, pero por cargos no relacionados con este caso, dijo Anthem.
Los problemas de seguridad que involucran a proveedores externos han sido una de las razones principales de las violaciones de datos y es un área que las empresas deben examinar , dijo a SC Media Gaurav Banga, fundador y CEO de Balbix .
“Las empresas deben evaluar mejor el riesgo de la extracción de datos y la intención maliciosa en toda la empresa, incluidos los contratistas externos. Encontrar específicamente los almacenes de datos dentro de la empresa que tienen un alto impacto en el negocio y tienen una mayor probabilidad de ser atacados por dispositivos infectados o usuarios malintencionados puede ayudar a predecir y prevenir tales ataques, antes de que ocurran. “La evaluación continua de riesgos y el monitoreo de la superficie de ataque de la empresa pueden revelar dichos riesgos de manera proactiva”, dijo.
En 2015, Anthem estuvo involucrado en un incidente de piratería masiva que vio comprometidos 80 millones de registros de clientes. Recientemente acordó pagar $ 115 millones para resolver una demanda colectiva centrada en ese incidente.
El RANSOMWARE explotó en Ucrania en toda Europa, interrumpiendo compañías, agencias gubernamentales e infraestructura crítica, al principio parecía ser simplemente otro esquema cibernético centrado en el beneficio, aunque sea particularmente cruel y dañino. Pero sus orígenes en Ucrania plantearon preguntas más profundas. Después de todo, los piratas cibernéticos han librado una guerra cibernética allí durante años , probablemente a pedido de Rusia.
A medida que salen a la luz más detalles, las empresas de ciberseguridad de Ucrania y las agencias gubernamentales sostienen que los piratas informáticos detrás del ransomware llamado Petya (también conocido como NotPetya o Nyetya) no son simples ladrones. Más bien, fijan los ataques contra agentes políticos que buscan interrumpir las instituciones ucranianas una vez más, utilizando un plan de rescate masivo para ocultar su verdadero motivo. Y algunos analistas occidentales de ciberseguridad que están siguiendo la plaga de Petya han llegado a la misma conclusión.
Es que los medios de comunicación de Ucrania fueron los primeros en informar ampliamente sobre las infecciones de Petya, ya que alcanzaron objetivos como los bancos ucranianos, el aeropuerto de Borispol de Kiev y las firmas de energía Kyivenergo y Ukrenergo.
Muchos otros también fueron víctimas de Petya. Afectó a la empresa naviera danesa Maersk, a la petrolera rusa Rosneft, e incluso al gigante farmacéutico estadounidense Merck. Pero los analistas de la ciberseguridad de Ucrania consideran a Ucrania como el objetivo principal, y el brote de Petya es solo un ataque más en su ciberguerra con piratas informáticos organizados e implacables que el gobierno ucraniano ha vinculado públicamente a los actores estatales rusos. “Creo que esto se dirigió a nosotros”, dice Roman Boyarchuk, director del Centro de Protección Cibernética dentro del Servicio Estatal de Ucrania para Comunicaciones Especiales y Protección de la Información. “Esto definitivamente no es criminal. Es más probable que esté patrocinado por el estado”.
En cuanto a si ese patrocinador estatal era Rusia, “es difícil imaginar que alguien más quiera hacer esto”.
Es curioso que el momento del ataque, justo antes del Día de la Constitución de Ucrania, que celebra la independencia post-soviética del país. Ucrania también sufrió un acto selectivo de violencia física el martes, cuando un coche bomba asesinó a un oficial de las fuerzas especiales en Kiev.
Más indicios técnicos apoyan esa teoría, dicen algunos investigadores de seguridad ucranianos. Socios de seguridad de sistemas de información con sede en Kiev, que ha actuado como primera respuesta para varias oleadas recientes de ataques cibernéticos en compañías y agencias gubernamentales ucranianas, dice que ha encontrado evidencia de que piratas informáticos sofisticados se infiltraron silenciosamente en las redes de al menos algunos objetivos ucranianos de dos a tres meses antes de que activaran el ransomware que paralizaba esas organizaciones.
Los analistas concluyeron que los efectos destructivos en las infraestructuras de las organizaciones estudiadas se llevaron a cabo con la ayuda de [ransomware], pero también con la participación directa de intrusos que ya tenían algún tiempo en el infraestructura. ISSP se negó a proporcionar más detalles sobre la evidencia de esas intrusiones prolongadas, pero argumenta que las técnicas de los atacantes coinciden con la “escritura a mano” de ataques anteriores de 2015 y 2016 que el presidente ucraniano, Petro Poroshenko, calificó de “ciberguerra”, librado por la inteligencia de Rusia. y los servicios militares. Yasinsky se negó a nombrar las víctimas exactas de Petya cuyas redes habían mostrado esas huellas dactilares,
ISSP dice que también encontró que Petya no actúa únicamente como ransomware. En lugar de simplemente cifrar los discos duros infectados y exigir $ 300 en bitcoins para la clave de descifrado, en algunos casos simplemente borró las máquinas en la misma red, eliminando el registro de inicio maestro de una computadora víctima, que le indica cómo cargar su sistema operativo. Otros investigadores de Comae Technologies y Kaspersky señalaron el miércoles que el cifrado del ransomware parece ser irreversible, incluso si una víctima paga el rescate. 1
Yasinsky argumenta que este comportamiento indica que los atacantes no estaban, de hecho, tratando de extorsionar los pagos de esas víctimas, sino que querían causar la máxima interrupción. Los hackers también podrían haber estado intentando una “limpieza” de las operaciones anteriores, especula Yasinsky, lo que evita que los investigadores aprendan todo el alcance de sus intrusiones al eliminar la venta al por mayor de datos de las redes objetivo.
Limpiar el registro de arranque maestro de las máquinas víctimas y plantar un ransomware falso e irreversible también son una tarjeta de visita de un grupo de atacantes, conocido en la industria de la ciberseguridad como Sandworm, que ha plagado a Ucrania durante años. A partir de octubre de 2015 y hasta finales del año pasado, el grupo golpeó objetivos en los medios de comunicación, la infraestructura de transporte y los ministerios de gobierno de Ucrania, y dos veces causó apagones al atacar las instalaciones eléctricas de Ucrania .
Según ISSP y la firma de seguridad FireEye, esos atacantes utilizaron múltiples variantes de una pieza de malware llamada KillDisk para destruir datos, y a finales de 2016 también comenzaron a usar malware que cifraba datos y parecía ser un ransomware con fines de lucro.
Según el análisis de FireEye, en al menos uno de esos casos de ransomware en diciembre de 2016, el malware no tenía medios para producir una clave de descifrado y, en su lugar, archivos cifrados permanentemente, como en el caso de Petya. Y años antes, FireEye había vinculado a los mismos atacantes a Rusia, basándose en parte en el análisis de un servidor de comando y control de acceso abierto que utilizaba y que contenía documentos en idioma ruso que explicaban cómo usar un malware que había instalado en las computadoras objetivo.
La teoría de que Petya apuntó a Ucrania específicamente está lejos de ser confirmada. Y no explica completamente por qué el malware se habría propagado más allá de las fronteras de Ucrania, incluido el ataque a objetivos rusos.
Pero los ucranianos no son los únicos que se inclinan por la hipótesis de que Petya se originó como una campaña de interrupción centrada en Ucrania patrocinada por el estado, en lugar de una empresa de hacer dinero. Los datos de Symantec muestran que, a partir del martes por la mañana, hora de los EE. UU., Más del 60 por ciento de las infecciones que vieron estaban en Ucrania, lo que implica que el ataque probablemente comenzó allí. Y los analistas de seguridad cibernética descubrieron el martes que, en muchos casos, Petya infectó a las víctimas al secuestrar el mecanismo de actualización de un software de contabilidad ucraniano llamado MeDoc. Las compañías que declaran impuestos o que participan en negocios financieros con Ucrania utilizan ampliamente MeDoc, dice Craig Williams, líder del equipo de investigación Talos de Cisco, que podría explicar en parte el alcance del ransomware más allá de las fronteras de Ucrania.
Esa táctica también indica que Petya “tiene una idea muy clara de a quién quiere afectar, y sus negocios asociados con el gobierno ucraniano. Es muy obvio que esto es una declaración política”.
Además del software MeDoc, la policía ucraniana también observó que los correos electrónicos de suplantación de identidad ayudaron a difundir Petya, lo que implicaría un enfoque cuidadoso del ransomware basado en los idiomas de las víctimas en lugar de un gusano que se propaga al azar. Pero otros analistas de ciberseguridad no han podido corroborar esas afirmaciones.
Aunque los motivos de los atacantes siguen siendo turbios, muchos en la comunidad de seguridad cibernética están llegando al consenso de que no eran delincuentes comunes. Aparte del truco de actualización de MeDoc, Petya también se propaga dentro de las redes utilizando una variedad de herramientas automatizadas que explotan los protocolos de Microsoft, como Windows Management Instrumentation, PSExec y Server Message Block, todos ellos distintivos de sofisticación. Pero mientras tanto, los perpetradores mostraron sorprendente desprecio por la parte de hacer dinero de un esquema de ransomware. Utilizaron una dirección de bitcoin codificada que es mucho más fácil de rastrear, y una dirección de correo electrónico para comunicarse con las víctimas que fue eliminada por su anfitrión dentro de las 12 horas posteriores al lanzamiento del ataque. En parte como resultado, la nueva variante de Petya ha ganado $ 10,000.
Ese desajuste sugiere un motivo ulterior, dice Nick Weaver, un investigador de seguridad informática en el Instituto Internacional de Ciencias de la Computación de Berkeley. “Esto parece una carga útil maliciosa diseñada para inutilizar los sistemas disfrazados de ransomware”, dice Weaver. “O simplemente arruinaron el lado del ransomware de manera inexplicable, o el objetivo real era interrumpir las máquinas, lanzadas de una manera muy sesgada contra Ucrania”.
Todo eso proporciona otra pista, por extraña que parezca, de que el daño a las empresas de EE. UU. a España e incluso a Rusia puede haber sido una garantía. Los hackers pueden, en cambio, haber continuado un asalto de larga duración contra Ucrania. Pero esta vez, el resto del mundo siente su dolor también.
Cientos tal vez incluso miles de personas que no asistieron y ni siquiera solicitaron ingresar a la Universidad de Auburn fueron parte de la fuga de datos donde se incluyó información personal, incluyendo nombre, dirección, dirección de correo electrónico, fecha de nacimiento, número de Seguro Social e información académica. Expuesto inadvertidamente en la web de la universidad.
La Universidad de Auburn confirmó el jueves que los no solicitantes a la universidad que habían tomado el ACT o el SAT antes de 2007 podrían haber tenido su número de Seguro Social expuesto en el sitio.
La universidad compra información personal a los estudiantes de ACT y SAT para fines de reclutamiento, de modo que los reclutadores puedan enviar información a los prospectos de admisión, dijo el vocero de Auburn, Mike Clardy.
ACT, que administra tal vez el examen de ingreso a la universidad que se usa con más frecuencia, confirmó que las universidades pueden comprar información de los estudiantes para fines de reclutamiento.
Esa información solo incluye el nombre, la dirección, la dirección de correo electrónico, la fecha de nacimiento, la escuela secundaria, el año de graduación, la especialidad universitaria prevista y la elección laboral.
La portavoz de ACT Katie Wacker dijo que los números de Seguro Social y los puntajes de las pruebas no están incluidos en esa información.
La universidad dijo que no había información sobre tarjetas de crédito, bancos o cuentas financieras involucrada en la fuga de datos. Además, no hay “evidencia de ningún uso real o intento de mal uso de esta información personal”.
Auburn dijo que está brindando a las víctimas de la supervisión de crédito de dos años sin fugas solo por “una abundancia de precaución”.
La universidad emitió una declaración el 3 de abril, indicando que los datos estaban disponibles entre el 1 de septiembre de 2014 y el 2 de marzo de 2015. Los funcionarios se enteraron de la filtración el 2 de marzo.
Sin embargo, la declaración no dejó en claro que los no solicitantes también fueron víctimas.
AL.com recibió correos electrónicos de casi 50 personas que dijeron haber recibido una carta de Auburn sobre la filtración; muchos, sin embargo, no lo entendieron porque, en primer lugar, no proporcionaron su información a Auburn.
¿Cómo obtuvo Auburn la información personal de los no solicitantes?. Los funcionarios de Auburn parecen no estar totalmente seguros de dónde provienen todos los registros personales de los no solicitantes y los posibles estudiantes, y no siempre pueden decirle a las personas que llaman sobre la filtración qué registros tienen archivados.