因违反《健康保险流通与问责法案》（HIPAA），美国联邦监管机构对眼镜制造商兼零售商Warby Parker处以150万美元（约合人民币1092万元）的民事罚款。该公司此前遭遇凭证填充攻击，影响了约20万人。

这是自第二届唐纳德·特朗普政府以来，美国卫生与公众服务部（HHS）民权办公室（OCR）首次公布的HIPAA执法行动。不过民权办公室表示，该罚款实际上是拜登政府在2024年12月的最后几周内对Warby Parker作出的裁决。

Warby Parker数次补充数据泄露报告，共影响近20万用户

民权办公室表示，其于2018年12月启动对Warby Parker的调查，此前该公司提交了一份HIPAA数据泄露报告。

报告显示，Warby Parker在2018年11月发现其网站上存在异常登录尝试。该公司报告称，在2018年9月25日至11月30日期间，未经授权的第三方使用从其他无关网站获取的用户名和密码访问了Warby Parker的客户账户，而这些网站可能已发生数据泄露。

随后，在该凭证填充攻击发生约两年后，Warby Parker于2020年9月对其2018年12月提交的数据泄露报告进行了补充，更新受影响用户人数至197986人。

民权办公室表示，受影响的电子受保护健康信息（ePHI）包括Warby Parker客户的姓名、邮寄地址、电子邮件地址、部分支付卡信息及眼镜处方信息。

此外，民权办公室还指出，Warby Parker在2020年4月和2022年6月分别提交了后续数据泄露报告，每次报告涉及的受影响人数均少于500人，这些事件同样源于凭证填充攻击。

Warby Parke违反HIPAA合规要求，主动接受罚款

民权办公室的调查发现，Warby Parker违反了HIPAA安全规则的三项规定：

1.未能进行准确且彻底的风险分析；

2.未能实施足够的安全措施，以降低ePHI的风险和漏洞；

3.未能建立定期审查信息系统活动记录的程序。

民权办公室代理主任Anthony Archeval表示：“识别并解决电子受保护健康信息的潜在风险和漏洞，对于有效的网络安全防护以及遵守HIPAA安全规则至关重要。”

他补充道：“保护个人电子健康信息意味着受监管实体需要在发生数据泄露之前，就严格执行并遵守安全规则要求。”

民权办公室于2024年9月通知Warby Parker，计划对其处以150万美元罚款。然而，该公司放弃了听证权利，并未对该机构的拟定裁决提出异议。2024年12月，民权办公室正式执行了罚款决定。

针对HIPAA罚款，Warby Parker暂未回应媒体的置评请求。

民权办公室处理HIPAA违规的执法行动通常以与相关企业或业务合作伙伴达成和解协议的方式结束，包括经济赔偿及整改计划。目前尚不清楚Warby Parker未对民权办公室的裁决提出异议的具体原因，但一些专家认为可能涉及多个因素。

Metaverse Law事务所的监管律师Lily Li（未参与本案）表示：“Warby Parker放弃听证权利的做法并不常见。”

她指出：“不对民事罚款提出异议可能意味着两个原因：第一，他们不想承担抗辩罚款所需的律师费；第二，他们可能对自身过去的安全状况存在更多顾虑，因此不希望进一步接受调查。”

参考资料：govinfosecurity.com

声明：本文来自安全内参，稿件和图片版权均归原作者所有。所涉观点不代表东方安全立场，转载目的在于传递更多信息。如有侵权，请联系rhliu@skdlabs.com，我们将及时按原作者或权利人的意愿予以更正。