סוכנות הסחר הפדראלית בארה"ב (US Federal Trade Commission) הגישה בעבר תלונות כנגד שני ארגונים שתוקפים הצליחו לחדור אליהם ולגנוב את נתוני המשתמשים שנשמרו במערכות השונות.

החברות שכנגדם הוגשו התלונות הם "Ceridian Corp.", המספקת שירותי מיקור חוץ בנושאי חשבונאות ומשאבי-אנוש, וחברת "Lookout Services" המספקת כלי בקרה למעסיקים לעמידה בדרישות חוקי ההגירה השונים. שתי החברות הבטיחו "נקיטת אמצעי הגנה נאותים" בשמירת פרטיהם האישיים של הלקוחות.

במקרה הראשון הואשמה חברת "Ceridian Corp." בכך שלמרות שהתחייבה בפני לקוחותיה לעמידה בתקן ISO-27000 ודרישות רגולטוריות אחרות, הרי שבפועל לא נאכפו כללי אבטחה מתאימים ונתוני מאגרי המידע נשמרו על שרתי החברה ב"clear text", ללא הצפנה וללא הגבלת זמן. כתוצאה מהפריצה לשרתי החברה נחשפו פרטים חסויים של כ-28,000 לקוחות.

במקרה השני, מואשמת חברת "Lookout Services" בכך שניתן היה לקבל גישה לכל נתוני הלקוחות שנשמרו במאגרי המידע ללא צורך בהזדהות כלשהי, ע"י גלישה לאתר החברה הרשמי וביצוע מתקפת "SQL Injection" פשוטה ביותר. בנוסף הואשמה החברה בפיקוח ויישום לקוי של מדיניות הסיסמאות בארגון והכשרת העובדים בנושאי אבטחת מידע. כתוצאה מהפריצה לשרתי החברה נחשפו פרטים חסויים של כ-37,000 משתמשים.

במסגרת הסכם הפשרה בין החברות הנ"ל וה-FTC, הסכימו החברות להודות באחריות לגניבת הנתונים, להחיל מדיניות אבטחת מידע מקיפה ולעמוד בבדיקות של חברות אבטחה חיצוניות למשך 20 השנים הבאות.

התלונות שהוגשו וההסדר שנחתם הם חלק מניסיונות ה-FTC להבטיח יישום אמצעי הגנה נאותים בחברות המחזיקות מאגרי נתונים רגישים אודות משתמשיהם.