Si hay algo a lo que tienen acceso los ricos es a los abogados. Como resultado, un cliente de Christie's presentó recientemente una demanda colectiva contra la casa de subastas después de que sufriera un ciberataque en mayo.
El incidente, al que Christie's se había referido anteriormente como un “incidente de seguridad tecnológica”, cerró su sitio web durante diez días antes y durante las principales ventas de la casa en Nueva York.
El grupo de ciberextorsión RansomHub se atribuyó la responsabilidad del ciberataque el 27 de mayo. Un mensaje del grupo en la web oscura también decía que «intentó llegar a una resolución razonable», pero la casa de subastas cortó la comunicación a mitad de las negociaciones. Christie's envió un correo electrónico a sus clientes el 30 de mayo reconociendo el ciberataque, pero dijo que sólo se habían robado datos de identificación, no datos financieros o de transacciones.
La denuncia presentada en el Distrito Sur de Nueva York el 3 de junio alega que Christie's no pudo proteger la «información de identificación personal», o PII, de sus clientes, de los cuales se estima que son al menos medio millón de compradores actuales y anteriores en sus bases de datos. La denuncia describe el incumplimiento como “un resultado directo de [Christie’s] falta de implementación de procedimientos y protocolos de ciberseguridad adecuados y razonables necesarios para proteger la PII de los consumidores de un ciberataque previsible y evitable”. La denuncia presentada también alega que «los ladrones de datos ya han participado en robo de identidad y fraude y pueden en el futuro cometer una variedad de delitos» utilizando la información robada, que, según dijo, incluye nombres completos, números de pasaporte, así como otros detalles sensibles de escaneos de pasaportes, incluidas fechas de nacimiento, lugares de nacimiento, géneros y “zonas legibles por máquina” o MRZ con forma de código de barras.
La denuncia alega que la violación de datos resultó en múltiples “daños concretos”, incluida la invasión de la privacidad; pérdida de tiempo y costos de oportunidad al «intentar mitigar las consecuencias reales de la violación de datos».
La demanda también afirma que los clientes de Christie también corren el riesgo de sufrir múltiples formas de robo de identidad, incluida la posibilidad de que malos actores abran cuentas financieras fraudulentas y préstamos a nombre de personas expuestas; obtener beneficios gubernamentales ilegalmente, o incluso obtener identificación con fotografías alternativas y “dar información falsa a la policía durante un arresto”.
El único demandante actualmente nombrado en la demanda colectiva es Efstathios Maroulis, quien se define en la demanda como residente y ciudadano de Dallas, Texas. Los perfiles en Instagram y LinkedIn que coinciden con el nombre y la ubicación de Maroulis decían que el individuo era el fundador y director ejecutivo de la empresa de software empresarial dental Jarvis Analytics, así como el fundador y director ejecutivo de la empresa de marketing digital Mesa Six. Jarvis Analytics fue adquirida por la empresa de suministros médicos y dentales Henry Schein en 2021.
Mensajes de ARTnoticias a los perfiles de Instagram y LinkedIn que se cree pertenecen a Maroulis no obtuvieron respuesta.
La denuncia de Maroulis también sostiene que los piratas informáticos con al menos dos formas de PII pueden utilizar esos detalles adquiridos ilegalmente en combinación con datos disponibles públicamente encontrados en otros lugares para «reunir expedientes completos sobre individuos» con «un alcance y un grado de precisión sorprendentemente completos». El periódico de arte, que informó por primera vez la demandaseñaló que estos expedientes, llamados «fullz» en los círculos de hackers, «normalmente generan precios considerablemente más altos en la web oscura que los registros parciales gracias a su utilidad considerablemente mayor para perpetrar el robo de identidad».
La definición de la demanda sobre el alcance del presunto daño como resultado del ciberataque también incluye a los intermediarios de datos. La denuncia de Maroulis alega que los clientes afectados por la violación de datos en Christie's ya no pueden vender voluntariamente sus propios datos personales por su valor total como resultado de su exposición por parte de RansomHub, y que la información «también puede caer en manos de empresas que utilizarán [it] para marketing dirigido” sin su consentimiento o permiso.
Según un documento presentado el 5 de junio, el juez del Tribunal de Distrito de los Estados Unidos, Jesse M. Furman, ordenó que los abogados de todas las partes comparezcan en una conferencia inicial previa al juicio en el tribunal el 10 de septiembre.
La casa de subastas también presentó una notificación de incumplimiento con la oficina del Fiscal General de California, Rob Bonta. La carta afirma que Christie's descubrió que fue víctima de un incidente de ciberseguridad el 9 de mayo, contrató a expertos externos en ciberseguridad y notificó a las autoridades. La carta también afirma que la casa de subastas ofrece una “suscripción gratuita de doce meses a CyEx Identity Defense Total”, un servicio de monitoreo de fraude y robo de identidad que notificaría cualquier cambio en los informes crediticios de Experian, Equifax y TransUnion.
La carta está firmada por el director de operaciones de Christie, Ben Gore. CyEx sitio web establece el valor de referencia del “Total de defensa de identidad” en $ 19,99 por mes.
Un portavoz de Christie's se negó a hacer comentarios. ARTnoticias sobre la demanda. Cuando se le preguntó si se habían presentado otras notificaciones de incumplimiento, un portavoz escribió en un correo electrónico: «Se han enviado notificaciones de incumplimiento a las autoridades correspondientes de acuerdo con el cumplimiento continuo del RGPD y otras regulaciones nacionales y estatales relevantes».
Milberg Coleman Bryson Phillips Grossman, el bufete de abogados que representa a Maroulis, tampoco respondió a una solicitud de comentarios de ARTnoticias por publicación.
A pesar del ciberataque, la casa de subastas aún pudo generar 114,7 millones de dólares por las ventas de Rosa de la Cruz y 21st Century y 413 millones de dólares durante su venta 20th Century Evening en Nueva York a través de pujas por teléfono, en persona y su plataforma online Christie's. Vivir.
La noticia de la demanda colectiva fue reportado por primera vez por El periódico del arte. Brett Callow, analista de amenazas de la empresa de ciberseguridad con sede en Nueva Zelanda Emsisoftpublicó por primera vez la noticia del notificación de incumplimiento con la oficina del Fiscal General de California el X.
