חברה עשויה לחוב בחובת זהירות כלפי אנשים שהמידע שלהם נחשף בעקבות מתקפות סייבר על תוכנה שפיתחה, גם אם הם לא היו משתמשים ישירים בה. כך קבע בית משפט פדרלי בקליפורניה, בהחלטה שדחתה בקשה של חברת תוכנה לבטל תביעה ייצוגית נגדה. התביעה הוגשה בעילת רשלנות.
מערכת ה-FTA של אקסליון, כלי ישן להעברת קבצים מאובטחת, נפרצה פעמיים - בסוף 2020 ותחילת 2021. כתוצאה מכך נחשפו פרטים אישיים, לרבות מספרי ביטוח לאומי ותיקים רפואיים של מיליוני אנשים. התובעים כוללים אנשים שמידע אישי שלהם הועבר דרך משתמשי המערכת, ובהם ספקי שירותי בריאות ומוסדות פיננסיים.
למרות שאקסליון טענה שאין לה חובת זהירות כלפי תובעים שאינם משתמשים ישירים, בית המשפט דחה את הטענה. הוא הצביע על כך שהשליטה של אקסליון בעדכוני האבטחה והרווחים מה-FTA יצרו "קשר מיוחד" עם אלה שהמידע האישי שלהם נחשף.
לפי החוק בקליפורניה, מצא בית המשפט, חברות עשויות להיות חייבות בחובת זהירות במקרה של אירועי אבטחה כאשר מתקיימים ארבעה מבחנים: (1) יחידים מסתמכים על המוצר להגנה על נתונים אישיים; (2) החברה מחזיקה בשליטה ייחודית על אבטחת המידע; (3) קבוצת הנפגעים ניתנת לזיהוי, ו-(4) החברה מפיקה רווח כלכלי מהמוצר.