最近,英国信息专员办公室因不遵守1998年《数据保护法》而对雅虎处以罚款。 原因是2014年发生了50万英国公民的个人数据泄露。 我们谈论这种情况。
/ Flickr / 库存目录 / CC BY怎么发生的
2014年,攻击者入侵了Yahoo服务器并窃取了50万用户的凭据,包括电话号码,生日,密码,帐户恢复问题以及对它们的回答。 在以“转储” Myspace和LinkedIn的用户数据而闻名的“和平”(Peace)绰号开始以仅3个比特币的价格公开出售Yahoo基地之后,盗窃事件就
广为人知 。 该广告于2016年出现在Darknet上,但攻击者表示他早在2012年就窃取了部分数据,此前曾秘密出售过该数据。
在联邦调查局也
参与的调查过程中,
事实证明,雅虎在事件发生后立即(2014年底)获悉了黑客攻击,但
宁愿保持沉默直到2016年9月。根据新法规(GDPR),组织将不再能够长期隐藏来自公众的泄漏。 新规定的第
33条和第
34条规定,公司必须在发现泄漏后72小时内通知监管部门和PD所有者。 对于不遵守该规则的情况,GDPR规定了数百万美元的罚款(第
83条第4款)。
在美国,他们还缩短了通知截止日期。
例如,今年9月
在科罗拉多州 ,将要求所有组织在30天内(所有州中最短的时间)报告数据泄漏。 在2017年,另外8个州更新了数据泄漏通知政策。 平均而言(在美国),数据泄漏通知期限为45天。
就雅虎而言,该公司被指控具有:
- 515 121用户无法确保数据的安全;
- 未按照规定进行PD处理流程;
- 很长一段时间没有报告检测到的“漏洞”和泄漏。
结果,英国信息情报办公室决定Yahoo违反了1998年DPA第一部分的第七条规则,其中规定:“需要采取适当的技术和组织措施,以防止未经授权或非法处理个人数据,以及防止其意外丢失,损坏和删除。 ”。 根据DPA 1998的第55A条,在这种情况下应支付的最高罚款为50万英镑。 尽管该办公室已考虑到情节恶化的情况(雅虎
判决第44页的第12页指出,其中专员强调了网络攻击的复杂性,该公司愿意与政府官员及其他人员合作),但仍无法逃脱该公司的罚款。
类似情况
英国公司TalkTalk
发生了类似案件,该公司于2015年10月遭到黑客攻击。 攻击者可以访问提供商的15万个客户的个人信息,包括1.5万人的机密财务数据。
犯罪分子选择使用SQL代码作为黑客的一种方式,该办公室的一位代表
指出 ,针对这种类型的攻击的防护方法早已得到发展。 此外,TalkTalk在重大“流失”之前收到了2条“警告”,即利用类似漏洞的2015年7月和9月攻击。 因此,该办公室
认为 ,TalkTalk“如果他们采取了基本步骤来保护客户数据,就可以阻止攻击”,并对该公司处以40万英镑的罚款。
总部位于伦敦的零售商Carphone Warehouse被
罚款相同数额。 受害者是300万客户:网络犯罪分子获得了他们的姓名,地址,电话号码,出生日期,家庭状况和信用卡付款历史记录。
数据泄漏的原因
是过时的软件。 调查还显示,该公司未对安全系统进行标准测试。 与雅虎一样,英国信息专员办公室
认为这种疏忽严重违反了1998年DPA第七条规则,并将Carphone Warehouse的罚款额定在了接近最高限额的水平。
接下来是什么
ICO运营副专员James Dipple-Johnstone在有关Yahoo案的博客文章中
指出 ,人们信任公司提供其数据,希望他们的个人信息不会落入第三方之手。 但是,并非所有公司都认真对待其客户的数据保护。 在这种情况下,法律代表被迫处理此事。
/ Flickr / Willi Heidelbach / CC BY副专员说,如果组织不能为其客户的个人数据提供足够的保护,则他们可以在欧盟以外的地方寻找工作。
该办公室了解到,网络攻击将继续发生,网络罪犯的方法将变得更加复杂,但需要组织尽最大的努力来保护其客户的数据。
正如英国信息保护专员伊丽莎白·德纳姆(Elizabeth Denham)所
强调的那样 ,“公司要做的不只是关门。” 他们必须锁定它并不断检查它。 他们还必须记住,锁门没用,把钥匙留在地毯下是没有用的。”
PS我们在1cloud的公司博客上还写些什么: