Wawa llega a un acuerdo de $8 millones con ocho estados por violación de datos, pero las víctimas de Florida no verán nada de ese dinero

Wawa acordó pagar $8 millones para finalizar una investigación multiestatal sobre una violación de datos que comprometió hasta 34 millones de tarjetas de crédito y débito utilizadas en sus tiendas en 2019.

Florida recibirá hasta $1.1 millones en el acuerdo, pero la procuradora general Ashley Moody no planea compartir el dinero con las víctimas de la violación en Florida.

“El dinero asegurado en el anuncio de hoy se destinará a futuros esfuerzos de protección del consumidor y aplicación de la privacidad para responsabilizar a los criminales y para la educación del consumidor”, dijo Kylie Mason, subdirectora de comunicaciones de la oficina de Moody’s, en un correo electrónico el martes.

La investigación fue codirigida por el fiscal general de Pensilvania, Josh Shapiro, y el fiscal general interino de Nueva Jersey, Matthew J. Platkin, según un anuncio de Platkin.

También es demasiado tarde para que las víctimas de Florida participen en el acuerdo de una demanda colectiva relacionada con una violación contra Wawa anunciada el otoño pasado en Pensilvania pero no publicada en Florida. El plazo para reclamar parte de los $9 millones que Wawa acordó pagar a las víctimas expiró en noviembre pasado.

Wawa, sin embargo, dice que ha cooperado con los funcionarios encargados de hacer cumplir la ley para ayudar a cualquier persona afectada por la violación y “hacer lo correcto” para nuestros clientes y comunidades.

La brecha ocurrió después de que los piratas informáticos instalaron malware en la red informática de la empresa que extrajo información almacenada en las bandas magnéticas de hasta 34 millones de tarjetas de crédito y débito entre el 18 de abril de 2019 y el 12 de diciembre de 2019.

Se expusieron los números de las tarjetas de crédito y débito, junto con las fechas de vencimiento y los nombres de los titulares de las tarjetas, reconoció Wawa. El anuncio de Platkin dijo que el 22,1% de las transacciones realizadas durante el período de incumplimiento se realizaron en Florida.

Según el comunicado de prensa de Moody’s, los fiscales generales alegaron que “Wawa no empleó medidas razonables de seguridad de la información para evitar tal violación de datos, por lo que violó las leyes estatales de protección del consumidor y de protección de la información personal”.

Además de pagar $8 millones para finalizar la investigación, Wawa acordó crear un “programa integral de seguridad de la información dentro de los seis meses”, dijo el comunicado de Pletkin.

Desde que se descubrió la brecha, Wawa ha reemplazado los lectores de banda magnética en sus terminales de punto de venta, incluidas las bombas de gasolina, con lectores de chips integrados más seguros. La compañía también ofreció a los clientes hasta un año de protección contra robo de identidad y monitoreo de crédito a través de Experian.

Las tiendas se vieron afectadas en los seis estados donde opera Wawa, incluidos Delaware, Maryland, Nueva Jersey, Pensilvania y Virginia, además de Washington, D.C.

Wawa, que se ha expandido rápidamente a Florida durante la última década, abrió su tienda número 200 en el estado en octubre de 2019, semanas antes de que se descubriera la brecha.

En el acuerdo anterior anunciado en agosto pasado, Wawa acordó pagar entre $5 y $500 a los clientes afectados por la infracción.

Los clientes que realizaron compras con tarjeta en un Wawa y certificaron que monitorearon sus informes de crédito debido a la preocupación por la infracción pero que no se vieron afectados por el fraude calificaron para una tarjeta de regalo Wawa de $5.

Los clientes que realizaron compras con una tarjeta, pudieron proporcionar pruebas razonables de un cargo fraudulento real o intento, y que pasaron al menos algún tiempo monitoreando sus cuentas podrían haber recibido una tarjeta de regalo Wawa de $15.

Los clientes que realizaron compras con una tarjeta y pudieron documentar que perdieron o gastaron dinero en relación con un fraude real o un intento de fraude “razonablemente atribuido a la violación de datos” podrían haber recibido un reembolso por pérdidas de hasta $500.

Pero la fecha límite para reclamar la compensación era el 29 de noviembre.

Wawa, que publica casi todas las aperturas de sus tiendas en Florida con anuncios a los medios de comunicación locales, aparentemente no publicó la disponibilidad del acuerdo para sus clientes de Florida.

Las búsquedas en Google y en el sitio web Newspapers.com, que archivó tiendas de 14 periódicos diarios en Florida en 2021, arrojaron solo una historia sobre el acuerdo, en un sitio solo en Internet llamado Patch.com.

La portavoz de Wawa, Lori Bruce, no respondió a las preguntas enviadas por correo electrónico sobre cuántos clientes presentaron reclamos y si la compañía tomó alguna medida el año pasado para informar a los clientes de la compañía en Florida sobre su derecho a reclamar una compensación del fondo de liquidación de demanda colectiva.

Con respecto al acuerdo con los seis estados y Washington, D.C. anunciado el martes, Bruce emitió un comunicado diciendo que Wawa está “complacido” de haber llegado a la resolución.

“Wawa respondió con prontitud y siguió todos los requisitos de notificación con las autoridades pertinentes, además de cooperar plenamente con los fiscales generales y todos los funcionarios encargados de hacer cumplir la ley para ayudar a cualquier persona afectada por el incidente”, dice el comunicado. “Desde el principio, nuestro enfoque ha sido hacer esto correcto para nuestros clientes y comunidades. Seguimos tomando las medidas necesarias para salvaguardar nuestros sistemas de seguridad de la información”.

Ron Hurtibise cubre temas de negocios y consumidores para el South Florida Sun Sentinel. Puede comunicarse con él por teléfono al 954-356-4071, en Twitter @ronhurtibise o por correo electrónico a rhurtibise@sunsentinel.com.