.
Um ex-funcionário da Tesla entrou com uma proposta de ação coletiva que culpa o mau controle de acesso da montadora por um vazamento de dados, semanas depois que a própria Tesla processou os supostos vazadores, dois ex-funcionários.
Benson Pai, que era associado de produção no campus da Tesla na Califórnia, trabalhando na construção e montagem dos veículos da empresa de carros elétricos, disse que o vazamento foi um “resultado direto” de controles de segurança deficientes por parte da Tesla. A ação, movida na terça-feira, afirma que as informações de identificação pessoal de 75 mil funcionários atuais e ex-funcionários poderiam ser vendidas na dark web devido à “segurança de dados inadequada” da empresa.
Pai, que está tentando confrontar as pessoas cujos dados foram roubados, reivindicado [PDF] no processo que Tesla:
A ação ocorre semanas depois que a Tesla disse em um documento de violação de dados junto ao estado do Maine* que havia em si processou dois ex-funcionários a quem acusou de roubar registros de 75 mil funcionários – incluindo, supostamente, o próprio número de segurança social (SSN) de Elon Musk.
Como Strong The One tem mencionado antes, muitas ações judiciais coletivas eram iniciadas com base na premissa de que os SSNs eram uma espécie de mina de ouro para fraudes de segurança. A posse apenas do SSN, nome e endereço de uma pessoa, por exemplo, significa que os criminosos podem contratar um cartão de crédito ou empréstimo em nome da vítima. Eles podem usá-lo para obter cuidados médicos (e acumular contas) sob a identidade da pessoa, ou identificar-se usando o SSN roubado quando preso – dando à vítima um registro criminal. Elon Musk, pelo menos, teria um nome reconhecível o suficiente para potencialmente desviar esse destino.
Tesla descobriu a violação em maio, quando notificada por jornal empresarial alemão Handelsblatt [paywalled], que deu detalhes sobre os dados que acredita terem sido incluídos na violação. A publicação disse que ia muito além dos funcionários da Tesla – e supostamente incluía informações de clientes e parceiros de negócios.
A história do Handelsblatt dizia que a empresa não conseguiu proteger adequadamente os 100 gigabytes de dados confidenciais que lhe foram entregues por um denunciante, que garantiu à Tesla que estava legalmente proibido de publicar. Tesla também é supostamente sob investigação pelas autoridades de proteção de dados do Euro devido ao vazamento.
A denúncia afirma que o fabricante de automóveis demorou muito para informar as vítimas afetadas do vazamento de dados, acusando-o, entre outras coisas, de negligência, invasão de privacidade, violação de contrato implícito, violação do dever fiduciário, quebra de confiança e violação da Lei de Concorrência Desleal da Califórnia. Lei.
Pai alegou na ação que esperar até agosto para informar os membros da turma aumentava o risco de fraude.
O documento também afirma que “informações não criptografadas e não editadas” poderiam ser vendidas na dark web “a um preço que varia de US$ 40 a US$ 200”, observando que os SSNs “são especialmente valiosos para ladrões de identidade”.
Quando a Tesla notificou os funcionários, ofereceu um ano de adesão aos serviços de monitoramento IdentityWorks da Experian aos membros cujos números de segurança social vazaram. A denúncia classificou a oferta como “totalmente inadequada”, pois “não leva em conta o fato de que as vítimas de violações de dados e outras divulgações não autorizadas geralmente enfrentam vários anos de roubo de identidade contínuo e fraude financeira, e falha totalmente em fornecer compensação suficiente para o divulgação e divulgação não autorizada de informações confidenciais do autor e dos membros da classe.”
A ação busca indenização por danos e custos, não divulgados na denúncia, mas superiores a US$ 5 milhões.
Pedimos comentários a Tesla. ®
*A lei do estado do Maine tem um estatuto de notificação de violação de dados em vigor, exigindo que as empresas que compram e vendem aos seus residentes notifiquem as partes afetadas “da forma mais rápida possível e sem demora injustificada”. É acionado quando alguém invade o sistema de computador de uma organização (ou se ajuda caso os administradores tenham deixado coisas públicas) e informações pessoais são adquiridas, divulgadas ou “usadas sem autorização”. É por isso que você verá muitas divulgações aparecendo lá primeiro.
.
