Citrix遭駭導致員工個資外洩，雙方以230萬美元和解

Citrix因為兩年前發現內部網路遭駭客入侵竊取資訊，遭到員工提出集體控告。本周美國佛羅里達州地方法院核准了雙方以230萬美元和解。

2019年三月Citrix公告公司內部網路遭國際駭客集團駭入，傳可能偷走了至少6TB的業務資料。Citrix調查推斷是伊朗駭客組織Iridium所為，他們可能利用密碼噴灑（password spraying）的攻擊手法破解了防護力較弱的密碼進入網路後，再於Citrix內部網路橫向移動，潛伏期間從2018年10月13日到2019年3月8日，長達5個月。安全公司Resecurity宣稱他們在2018年12月曾對Citrix提出警告。

Citrix當時說沒有跡象顯示任何產品或服務安全也遭破解，不過卻包含了員工資訊。2019年5月起開始有員工提出控告，最後集結成2.4萬名員工對Citrix提起集體訴訟。雙方於去年10月達成和解，並在本周獲得法院初審同意。

根據法院文件，Citrix將支付官司費用及提供信用監控服務、ID身份盜竊恢復等以及賠償員工被盜刷信用卡金額，總計228萬美元。

這項訴訟將在今年6月10舉行聽證會後由法院做出最終審判。