文章总结： 金融科技公司Marquis因数据泄露起诉防火墙供应商SonicWall，指控其未及时披露自身安全事件导致客户受损。此案标志着网络安全责任分配的新趋势，即受害企业反向起诉安全供应商以分担责任。法律专家指出，供应商面临的合理网络安全标准将提高，企业需加强对供应商的尽职调查与合同风险管控。 综合评分： 80 文章分类： 数据泄露,安全大事件,供应链安全,政策法规,安全建设

甲方数据泄露 防火墙厂商成被告

数世咨询

2026年3月7日 20:02 河北

本文关键看点：

供应商不再只是技术合作伙伴，他们是潜在的共同被告。

▍本文内容由AI工具翻译生成，可能存在语义偏差，请以原文为准。

✦

以下为正文

✦

一家大型金融科技公司正将其近期数据泄露事件的责任归咎于防火墙供应商，并提起诉讼索赔。这一做法在近年来虽属少见，但其潜在影响可能重塑网络安全行业的风险分配格局。

原告 Marquis 官网显示，其为 700 多家银行与信用合作社提供营销与合规解决方案。8 月 14 日，一名勒索软件攻击者入侵了 Marquis 的 IT 网络及客户数据，其中包括部分客户终端用户的个人身份信息（PII）。近期媒体报道称，可能有超过 78 万人受到影响，但相关数字尚未得到独立确认。

在一段时间内，Marquis 并未查明攻击者的入侵路径。与此同时，9 月 17 日，其防火墙供应商 SonicWall 披露自身遭遇安全事件。攻击者入侵了 SonicWall 的云备份服务，并窃取了客户防火墙配置文件。这类文件一旦泄露，将为后续针对客户的定向攻击提供便利条件。

当时，SonicWall 表示仅有 5% 客户受到影响。然而 10 月 8 日，公司承认实际影响范围为全部客户。

这一披露直接引发 Marquis 方面的法律行动。2 月 23 日，Marquis 向美国德州东区联邦地区法院提起诉讼，明确将其遭受攻击的责任归咎于 SonicWall，并寻求赔偿。

在回应媒体询问时，Marquis 发布声明称：“SonicWall 不仅未能及时披露其遭入侵事件，而且在数周时间内向 Marquis 保证其防火墙保护未受影响。”“由于 SonicWall 未能及时披露其事件的完整范围与严重程度，Marquis 未能采取措施减轻由此产生的损害。”

SonicWall 发言人则表示：“目前我们尚未发现任何技术证据证明两起事件存在关联。不幸的是，该客户在未事先提供相关证明材料的情况下提起诉讼。我们正在审查相关指控，并准备积极应对任何缺乏依据的主张。”

撇开具体事实争议，这起诉讼提出了一个核心问题：当数据泄露源于第三方供应商时，责任应如何划分？

Bradley 律所合伙人 Erin Jane Illman 指出：“历史上，多数与数据泄露相关的诉讼是由消费者或监管机构针对被攻击企业发起。但本案反映出一个新趋势：企业反向起诉其网络安全供应商、托管服务商或软件提供商，主张分担责任、赔偿或过失。这从根本上改变了行业的风险计算方式。供应商不再只是技术合作伙伴——他们可能成为共同被告。”

01

起诉供应商的法律先例

#

尽管企业因第三方供应商导致数据泄露而提起诉讼的案例相对罕见，但并非首例。

2018 年，电子邮件安全厂商 Barracuda Networks 发生安全事件，导致其客户 Zoll Services 的个人健康信息（PHI）泄露。Zoll 起诉 Barracuda，但美国马萨诸塞州联邦地区法院裁定 Barracuda 胜诉。2025 年 11 月，Zoll 的上诉亦被驳回。

类似案例还包括 2014 年数家银行针对 Target 发起的诉讼——该公司因臭名昭著的 PoS 系统数据泄露事件成为焦点。部分银行不仅起诉 Target，还将安全顾问 Trustwave 列为被告，因其在事件发生前对 Target 的 IT 安全体系提供认证背书。但相关案件最终撤回或不了了之。

Galactic Advisors 高级网络安全法律顾问 Jackson Stephens 指出，2023 年 MOVEit 数据泄露事件引发大量诉讼潮。“该事件导致数十起诉讼，目前仍有多起在审理中。”他认为，“针对托管服务商（MSP）和网络安全供应商的诉讼正在变得更加常见。”

就 Marquis 与 SonicWall 案而言，他表示：“这类案件通常不会进入庭审阶段——合同往往要求仲裁或调解，最终以未公开和解告终。”但他也指出，像 SonicWall 这样的公司未来仍可能面临其他法律挑战，例如若其客户的个人数据泄露，可能遭遇集体诉讼，而客户企业可能再将责任转嫁至 SonicWall。此外，公司亦可能面临政府监管执法行动。

02

网络安全供应商的法律风险上升

Illman 认为，Marquis 案可能为其他数据泄露受害企业树立示范效应。

#

“当前环境为企业高管创造了新的战略激励。”她表示，“在面对股东诉讼或监管审查时，管理层可能更倾向于将责任向下游转移——主张供应商工具失效、补丁存在缺陷，或托管服务商未能识别入侵迹象。”

她补充称：“这并不能免除高管责任，但确实开启了幕后交叉索赔与赔偿责任争议的新战线。”

在法律层面，“过失”的认定标准仍处于动态演变之中。Illman 指出，原告正在探索多种法律路径，包括虚假陈述、未履行警示义务、设计缺陷或夸大安全能力等，以突破合同免责条款。

更进一步，法院未来可能重新界定“合理网络安全”的行业标准。“当一家企业将‘安全’作为其核心产品出售时，其应承担的注意义务标准，可能显著高于普通企业 IT 部门。”

当然，案件也可从另一角度审视。企业有权选择供应商，并可通过合同条款塑造风险分配机制。

JacksonLewis 律师 Joseph Lazzarotti 指出，企业在选聘供应商时，往往未进行充分的网络安全尽职调查。此外，服务级别协议（SLA）通常未充分考虑最坏情形，例如供应商自身成为攻击源头。

如果企业在选聘与监督供应商方面同样存在疏忽，“则可能面临自身在供应商选择或监管方面存在过失的指控，导致公司或其客户数据暴露。”

2026防火墙的新趋势

* 本文为AI编译，原文地址：https://www.darkreading.com/cloud-security/marquis-sonicwall-lawsuit-breach-blame-game 注：图片均来源于网络，无法联系到版权持有者。如有侵权，请与后台联系，做删除处理。

— 【 THE END 】—

🎉 大家期盼很久的#数字安全交流群来了！快来加入我们的粉丝群吧！

🎁多种报告，产业趋势、技术趋势

这里汇聚了行业内的精英，共同探讨最新产业趋势、技术趋势等热门话题。我们还有准备了专属福利，只为回馈最忠实的您！

👉 扫码立即加入，精彩不容错过！

😄嘻嘻，我们群里见！

更多推荐

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：数世咨询 《甲方数据泄露 防火墙厂商成被告》