Citrix遭骇导致员工个资外泄，双方以230万美元和解

Citrix因为两年前发现内部网络遭骇客入侵窃取资讯，遭到员工提出集体控告。本周美国佛罗里达州地方法院核准了双方以230万美元和解。

2019年三月Citrix公告公司内部网络遭国际骇客集团骇入，传可能偷走了至少6TB的业务资料。Citrix调查推断是伊朗骇客组织Iridium所为，他们可能利用密码喷洒（password spraying）的攻击手法破解了防护力较弱的密码进入网络后，再于Citrix内部网络横向移动，潜伏期间从2018年10月13日到2019年3月8日，长达5个月。安全公司Resecurity宣称他们在2018年12月曾对Citrix提出警告。

Citrix当时说没有迹象显示任何产品或服务安全也遭破解，不过却包含了员工资讯。2019年5月起开始有员工提出控告，最后集结成2.4万名员工对Citrix提起集体诉讼。双方于去年10月达成和解，并在本周获得法院初审同意。

根据法院文件，Citrix将支付官司费用及提供信用监控服务、ID身份盗窃恢复等以及赔偿员工被盗刷信用卡金额，总计228万美元。

这项诉讼将在今年6月10举行听证会后由法院做出最终审判。