媒体越来越多地讨论了PD向社交网络和Web服务用户泄漏的问题。 可能每个人都在分析公司Cambridge Analytica那里听到了这个故事,该公司能够获得8700万Facebook用户的个人数据(包括
Mark Zuckerberg本人的
数据 )。
但是,鲜为人知的PD泄漏案例的问题范围也不少。 让我们看几个例子,并讨论监管机构和IT公司为防止此类事件正在采取哪些措施。
/图片Mike Rickard CC个人资料外泄情况
2016年,PD盗窃案件数量与去年相比
增加了40%。 在2016年春末,黑客为MySpace
发售了 3.6亿用户凭据。 同样的命运
也来自社交网络LinkedIn的1.64亿个电子邮件地址和密码以及
vk.com的 1亿个
用户帐户 。
而且泄漏的“数量”还在增长。 正如信息安全公司InfoWatch在2017年上半年
指出的那样 ,有77.8亿条包含国际服务用户的个人和付款信息的记录
受到了威胁 。 这几乎是2016年上半年(10.6亿)的八倍,是2016年全年(30亿)的两倍。 此外,黑客和公司员工(有意或无意)都
应对泄漏
负责 。
例如,几年前Yahoo用户的PD用户的泄漏被
黑客指责 。 2014年,他们窃取了超过5亿用户的个人数据。 据该公司称,姓名,地址和电话号码以及出生日期可能“泄漏”。 后来发现,在2013年,还有另外一个更严重的黑客案例,当时黑客从超过10亿的Yahoo用户那里获得了信息,包括密码和秘密问题的答案。
而就在几个月前就已经知道的
分析公司LocalBlox而言 ,由于公司员工的过失而导致数据“泄漏”。 LocalBlox一次收集了多个社交网络用户的数据-Facebook,LinkedIn,Twitter和Zillow。 这些数据包括:姓氏和名字,社交网络上的帐户链接,地址,出生日期,邮件和电话号码,薪水,利息等等。 该公司“遗留”在亚马逊开放式存储中,拥有4800万人的整个数据阵列(其容量总计1.2 TB)。 他是
由网络安全
团队UpGuard发现的 。
Equifax的情况
被称为 “最严重的泄漏”,这是不容忽视的。 在2017年,社交人数有所增加。 信用局持有的保险,信用卡和驾驶执照属于入侵者之手。 共有1.43亿客户受到影响。
在某些情况下,数据代理还涉及用户泄漏。 在2011年,营销公司Epsilon被
黑了 。 然后,数百万人的电子邮件进入了网络,其所有者遭受了一系列网络钓鱼和垃圾邮件攻击。 2015年,Experian被黑。 黑客向1500万用户“泄露”了个人信息。
为了避免将来减少此类事件造成的损害,美国电信公司甚至决定停止将客户地理数据出售给经纪人。 我们在
过去的一篇博客材料中写了更多有关此的
内容 。
更严格的标准-解决方案或新一轮的矛盾
许多世界专家和政界人士
一致认为,过去的泄漏和盗窃案表明,有必要加强对用户数据的存储,分发和保护的状态控制。 GDPR是最近通过的最著名的法律之一。
GDPR应该赋予欧盟公民更多数据控制权,这是各种在线服务所要求的。 尤其是,用户现在可以禁止社交网络在他们不知情的情况下分发个人数据,并要求提供有关如何使用它们的信息。
如果违反要求,公司将面临严重的罚款。 他们可以达到
2000万欧元,占年营业额的4% 。 因此,许多服务已经相应地更改了其隐私策略并引入了新功能。 例如,为了满足GDPR法规的要求,WhatsApp添加了请求帐户信息的功能-这些是设置,个人资料照片,群组名称等。在Instagram上,他们宣布了下载数据的新选项。
我们针对媒体公司政策的其他变化
准备了单独的材料 。
监管机构还设定了公司
必须报告个人数据“损失”的时间范围。 根据GDPR,此“窗口”是在检测到“排水”后72小时。
/图片Descrier CC在不同的国家,甚至在美国的不同州,监管机构都制定
了自己的事件举报
规则 。 例如,在佛罗里达州和科罗拉多州,必须在泄漏后30天内
通知监管机构。 同时,根据研究,美国公司现在平均平均需要
206天才能检测到机密信息的丢失。 因此,正如研究机构Ponemon所指出的那样,公司将不得不提高其绩效。
如果公司隐藏有关泄漏或黑客攻击的信息,则可能面临巨额罚款。 2018年4月底,美国证券交易委员会宣布,Altaba(前身为Yahoo)
应因制止2014年个人数据泄露而
支付罚款 。 罚款
总额 (用于抑制盗窃的程度,而不是为了承认盗窃的事实)
总计 3500万美元。
在俄罗斯,PD处理方面的违法罚款较少。 但是,监管可能很快就会跟随西方的脚步而行。 该国当局正在
计划公司,以确保个人数据泄露的风险。 该倡议的命运最早应在本月决定。
这些政府项目从长远来看是否有效,以及它们如何影响用户的在线生活,还有待观察。 由于在该区域中仍然存在票据,因此并非所有事物都那么简单。 与
欧盟最近的
版权改革一样,本周欧洲议会
拒绝了这项 改革 。
PS:关于第一个公司IaaS博客,我们还要写些什么:
PPS关于我们Habré博客的主题的帖子:
IT-GRAD公司的主要活动是提供云服务:
虚拟基础架构(IaaS) | PCI DSS托管 | 云FZ-152 | 在云端租用1C