事件概述 - 客户Paul Berger对Mercer Advisors提起集体诉讼，指控公司未能保护客户数据免受网络犯罪团伙ShinyHunters的协同攻击 [1][2] - 网络安全漏洞发生在2月16日左右，攻击者是名为ShinyHunters的网络犯罪勒索组织 [2] 数据泄露详情 - 攻击者给Mercer 48小时支付赎金，否则将在暗网泄露约570万份客户记录，包括姓名和社会安全号码等个人信息 [3] - Mercer拒绝支付赎金，攻击者随后公开了被盗信息 [3] 攻击者背景与手法 - ShinyHunters自2020年开始活跃，首次高调入侵是窃取印尼电商平台Tokopedia的9100万用户记录并在暗网发布 [4] - 该团伙惯用手法是窃取数据后在暗网论坛出售，可卖给单一或多个买家 [5] - 近年目标包括Ticketmaster和AT&T，据报道AT&T在支付37万美元赎金后仍遭遇大规模数据泄露 [5] - 该团伙的勒索策略已升级，包括“swatting”攻击和人身暴力威胁 [5] 指控内容 - 指控公司未能遵循联邦贸易委员会和行业最佳实践来保护客户信息 [6] - 指控公司在知晓事件后“不可原谅地未能及时通知个人信息被泄露的个人” [6] - 指控公司的数据安全措施不足，包括未能采用“足够的网络分段”、“多因素认证和凭证保护措施”、“个人身份信息加密”以及“定期安全审计和风险评估”等 [7] 潜在后果 - 客户声称他们和其他Mercer客户“将面临对其财务和个人记录长达数年的持续监控”，以寻找数据泄露被用于侵害他们的证据 [8] - 通过将被盗电子邮件地址与用户粉丝数或头像等可识别资料关联，网络犯罪分子可以制作极具说服力的钓鱼邮件，例如冒充Mercer支持并引用特定账户信息以获取信任 [9]