一家英國零售商因遭受網絡攻擊導致黑客獲得了1400萬人的個人信息,并被信息專員辦公室(ICO)處以50萬英鎊的罰款。
一項?ICO調查發現,該活動在2017年7月至2018年4月期間處于活動狀態–并在 DSG Retail Ltd擁有的Currys PC World和Dixons Travel Stores的 5,390個耕作中安裝了惡意軟件。
這使攻擊者能夠在9個月的時間內收集客戶的個人數據,從而導致560萬人的信用卡數據被盜。共有1400萬人擁有個人信息,其中包括全名,郵政編碼,電子郵件地址和不合格的信用查詢,這些信息已被網絡罪犯訪問。
ICO稱,DSG有限公司違反了《 1998年數據保護法》,其“安全安排不力”,并且“未采取適當措施保護個人數據”。
調查后詳細進行的監督包括軟件補丁不足,沒有防火墻,缺乏網絡隔離和例行安全性測試。
“我們的調查發現DSG Retail Limited保護個人數據的方式出現了系統性故障。這些故障與基本的普通安全措施有關,這非常令人擔憂,這表明完全忽略了那些個人信息被盜的客戶,”主管Steve Eckersley說道。 ICO的調查。
該事件發生在通用數據保護法規(GDPR)于2018年5月生效之前,因此罰款必須與當時生效的法規一致。但是ICO明確表示,如果該駭客行為發生在GDPR之下,罰款將更高。
它說:“這種情況下的違法行為是如此嚴重,以至于我們根據先前的立法處以最高刑罰,但根據GDPR,罰款將不可避免地要高得多。”
ICO表示,與違規行為有關的個人數據將“顯著影響個人隱私”,并使客戶容易遭受身份盜竊和欺詐。
Eckersley說:“由于數據泄露,這種粗心的數據丟失可能使許多人感到痛苦,”
但是,在向ZDNet發布的一份聲明中,Dixons Carphone首席執行官Alex Baldock表示:“我們沒有確鑿的證據表明任何客戶因此遭受欺詐或財務損失。”
他補充說:“我們對先前曾挑戰并繼續存在爭議的ICO的一些主要發現感到失望。我們正在詳細研究他們的結論,并考慮我們的上訴理由。”
該公司表示,此后已經升級了其檢測和響應功能,并在信息安全方面進行了“大量”投資。
在2018年1月,與Dixons Carphone屬于同一公司集團的Carphone Warehouse 因類似的安全漏洞被罰款,該漏洞在2015年導致數據泄露。
如何保護數據安全?
一、保持合理的硬件刷新率,以保證公司的基礎架構(從PC到電話再到服務器)保持相當新的狀態。
二、保持現代操作系統,使用評級較高的端點安全解決方案,定期下載并安裝所有修補程序/更新,操作系統、硬件和關鍵業務軟件的補丁對于安全性也至關重要。
三、遵守良好的密碼更換習慣,并對其進行現代化管理,這也是有效防止數據和隱私泄露的方法。
四、使用兩因素(或更多)身份驗證(或稱為“2FA”),這是針對網絡安全保護的明智之舉,可以有效減少數據和隱私的違規行為。
五、備份是針對勒索軟件的必要措施。必須堅持的一項重要工作是“無限制副本”,即每次更改文件時,服務都會保存文件的副本,而不僅僅是最后一個副本,這有利于公司在遭受勒索軟件攻擊時用于確定感染發生的確切時間。
六、企業網站部署SSL證書
SSL證書可為網站進行身份認證、對網站數據傳輸進行加密,防止用戶誤進釣魚網站、部署SSL證書后嚴謹的加密系統有效防止第三方竊取、篡改、流量劫持等行為,保證用戶數據安全。
聲明:本網站發布的圖片均以轉載為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。本站內容未經允許不得轉載,或轉載時需注明出處:GDCA數安時代
責任編輯:
