2023年的一次黑客入侵,让Comcast在三年后掏出了1.175亿美元。这笔钱不是罚款,是和解金——专门赔给当年信息被泄露的用户的。如果你收到过Comcast的数据泄露通知,你的名字可能就在那3160万人的名单里。
这事得从Citrix的一个漏洞说起。黑客利用它溜进Comcast的系统,待了整整三天。他们带走了姓名、联系方式、出生日期,但没碰财务数据。三天听起来不长,足够把半个美国的人口信息打包带走。
现在和解协议等着7月7日法院最终批准。但赔偿登记已经开了,截止日期是8月14日。想拿钱的人得主动伸手,不会自动到账。
谁能拿钱?两种赔偿路径
符合资格的人分两类。第一类最简单:只要你收到过Comcast的正式通知,证明你的信息在泄露范围内,就能申请基础赔偿。第二类需要额外举证——你得证明这次泄露确实给你造成了经济损失,比如身份被盗后的信用卡盗刷、信用修复费用、甚至误工损失。
基础赔偿的申请几乎零门槛,但金额也低;损失赔偿需要发票、银行对账单、警方报案记录等一堆材料,不过上限高得多。
具体能拿多少?现在没人知道。总盘子是1.175亿美元,但要减去律师费、行政成本,剩下的才是分给受害者的。最终金额取决于两个变量:多少人申请,以及其中多少人走损失赔偿路线。申请的人越少,每人分到的越多——这是集体诉讼赔偿的永恒悖论。
怎么申请?线上和邮寄两条路
线上申请最快。去和解管理员Kroll的网站填表,全程大概十分钟。需要的信息包括:你收到通知里的确认码、联系方式、选择的赔偿类型。如果选损失赔偿,系统会提示你上传证明文件。
偏爱纸质的人也能打印表格,寄到纽约的Kroll Settlement Administration。邮戳必须在8月14日之前,建议用有追踪服务的快递,别赌平邮的运气。
有个细节容易忽略:如果你不想参与集体和解,想保留单独起诉Comcast的权利,必须在6月1日前提交书面退出通知。错过这个日期,你就被自动纳入和解,以后不能再告。但说实话,个人起诉的时间成本和律师费,大多数人扛不住。
为什么等了三年才赔钱?
集体诉讼的流程就是这样:泄露发生→用户起诉→双方谈判→初步和解→法院预审→最终批准→开始赔付。Comcast这事2023年爆发,和解协议今年才敲定,中间经历了证据交换、专家论证、赔偿方案拉锯。律师们按小时计费,用户干等。
Comcast的态度是典型的企业危机公关模板:不承认法律责任,但愿意花钱息事宁人。和解协议里一定有"被告否认任何不当行为"的条款,这是标准写法。用户拿到钱,企业避免承认过错,律师抽走25%-40%的费用——三方各取所需。
Citrix漏洞本身也值得说两句。这是个已知漏洞,有补丁,但Comcast没及时打上。黑客专门扫描没修漏洞的系统,这叫"漏洞利用即服务"的灰色产业。企业IT的补丁管理是个脏活累活,但漏一次的成本可能是九位数。
数据泄露的赔偿历史上,1.175亿美元算中等规模。Equifax 2017年泄露1.47亿人信息,和解金7亿美元;Target 2013年信用卡泄露,赔了2920万美元。Comcast这次没涉及财务数据,金额相应打了折扣。
但3160万受害者里,预计只有一小半会申请。很多人搬了家、换了邮箱,通知根本没看到;有人觉得"就几十块钱,懒得填表";还有人纯粹是错过了截止日期。2019年雅虎5亿用户泄露的和解,最终申请率不到15%,剩下的钱要么回流企业,要么捐给网络安全教育基金——看和解协议怎么写。
如果你确定自己符合条件,建议现在就行动。拖到最后一周,网站可能卡顿,客服电话可能占线,邮寄更可能出岔子。集体诉讼的赔偿从来不是"应得的",是"争取来的"。
最后留个悬念:这1.175亿美元里,律师费预计拿走3000万到4000万。剩下的8000万左右分给3160万人,如果申请率是30%,人均大概80美元。但如果你是那少数提交了完整损失证明的人,可能拿到四位数。
你会花十分钟填表,赌这80美元吗?还是已经懒得打开那封尘封的泄露通知了?
热门跟贴