Un acuerdo entre una unidad de Chubb y una empresa de software que fue acusada de no informar adecuadamente a un bufete de abogados de las vulnerabilidades de su software de intercambio de archivos electrónicos, lo que llevó a un pago de 2 millones de dólares por ransomware, se ha resuelto sin que haya dinero de por medio, según la empresa.
Accellion, con sede en Palo Alto, California, había prestado servicios de software a un bufete de abogados de Boston no identificado que era titular de una póliza de la unidad de Chubb Ace American Insurance Co, según los documentos judiciales en Ace American Insurance Co. contra Accellion Inc.
En diciembre de 2020, Accellion se dio cuenta de las vulnerabilidades del software y notificó a sus clientes, pero supuestamente envió la corrección de seguridad a dos personas que habían dejado el bufete varios años antes, a pesar de que el bufete de abogados supuestamente había pedido a la compañía en 2017 que actualizara su información de contacto, según la demanda en el caso. Como resultado, el sistema informático del bufete de abogados no se actualizó, según la denuncia.
Ese mismo mes, después de que se emitiera la alerta, un usuario no autorizado obtuvo acceso a los archivos del bufete de abogados, lo que llevó al bufete de abogados y / o Ace a pagar más de $ 2 millones a cambio de que el hacker se comprometiera a no publicar los archivos exfiltrados, a proporcionar una lista de todos los datos tomados y a destruir los datos en su poder. El bufete de abogados también incurrió en 375.000 dólares en gastos y honorarios de abogados, según la denuncia.
Ace demandó a Accellion ante el Tribunal de Distrito de Oakland, California, en diciembre de 2021, reclamando más de 2,4 millones de dólares, así como intereses y costas.
En una demanda cruzada presentada en abril, Accellion dijo que según el acuerdo de licencia de usuario final del bufete de abogados, la responsabilidad potencial de Accellion se limita a las tarifas pagadas por el cliente en los 12 meses anteriores, que en este caso ascendieron a 42.181,82 dólares.
Accellion también afirmó que el bufete de abogados no recibió la notificación de vulnerabilidad porque había optado por no recibir notificaciones de actualización de software. Accellion solicitó una sentencia declaratoria a favor de la empresa.
Las partes notificaron al tribunal que habían llegado a un acuerdo, de acuerdo con la desestimación condicional del tribunal, emitida el miércoles.
El abogado general de Accellion, Camilo Artiga-Purcell, dijo en un comunicado: «Nos complace ver que, tras el descubrimiento y la evaluación de las pruebas, Ace American Insurance Company determinó desestimar su demanda civil con perjuicio contra Accellion, Inc.»
El consejero delegado de Accellion Inc. Jonathan Yaron, consejero delegado de Accellion Inc., afirmó en un comunicado: «Nuestro equipo trabajó sin descanso tras el hackeo criminal para desarrollar y publicar parches que resolvieran cada una de las vulnerabilidades de File Transfer Appliance y para ofrecer un apoyo inquebrantable a los clientes afectados por el incidente».
«Esto corrobora que los procesos y esfuerzos que nuestro equipo siguió antes, durante y después de la brecha demostraron la máxima prudencia y cuidado para todos los clientes».
Los abogados de Chubb no respondieron a una solicitud de comentarios.
A principios de esta semana, un tribunal federal de distrito falló en contra de una unidad de Chubb Corp. y sostuvo que un fabricante de bebidas y salsas de Portland, Oregón, tiene derecho a los más de 107.000 dólares que reembolsó a su presidente después de que éste realizara un pago por ransomware con sus fondos personales en criptodivisas.
