迄今为止最大的几笔数据泄露处罚及和解

作者:深圳市网安计算机安全检测技术有限公司 | 国际 2019/09/04 14:28:27 1499
文章来源:https://www.4hou.com/info/news/20096.html

b5af2a69cef0c91f1bae9e5b55114ae5.png

由于安全性薄弱或可避免的人为失误等所导致的黑客攻击和数据盗窃,已经为全球企业造成了总计约12.3亿美元的经济损失。

对2019年数据泄露事件进行的大规模罚款评估表明,监管机构对那些不能正确保护消费者数据的组织越来越严格。在英国,英国航空公司(BA)遭受了创纪录的2.3亿美元罚款,紧随其后的是万豪的1.24亿美元罚款;而在美国,Equifax同意为2017年的数据泄露事故支付至少5.75亿美元。

2018年9月,优步与50个州和哥伦比亚特区就其2016年的违规行为达成和解,并同意支付1.48亿美元的罚款。保护不当但却受到严格管制的健康数据也使医疗保健行业损失惨重,致使美国卫生和人类服务部(DHHS)开出越来越大的罚单。

1. Equifax:(至少)5.75亿美元

2017年,由于其数据库中未修补的Apache Struts框架,Equifax泄露了近1.5亿用户的个人和财务信息,包括姓名、地址、社会安全号码和出生日期等关键信息,在全社会引发巨大恐慌。这是美国历史上最严重的数据安全事件,以美国人口3.2亿计算,受影响的超过40%。据悉,该公司在补丁程序发布数月后仍未能修复该关键漏洞,并且在发现该漏洞数周后未能通知公众该漏洞信息。

2019年7月,Equifax同意支付5.75亿美元罚款并采取合理措施保护其网络——根据Equifax与消费者金融保护局、联邦贸易委员会等监管部门达成全球和解协议,该罚款金额可能增加至7亿美元。

根据这份和解协议,Equifax将建立一个3亿美元的消费者基金,为受影响的消费者提供现金补偿,如果初始资金不足以补偿消费者,还将另外增加1.25亿美元;同时,Equifax还同意支付1.75亿美元给48个州、哥伦比亚特区以及波多黎各,并向美国消费者金融保护局(CFPB)支付1亿美元的民事罚款和其他救济。除此之外,和解协议还要求该公司每两年对其信息安全计划进行第三方评估。

FTC主席Joe Simons表示:

“从个人信息中获利的公司有额外的责任来保护和确保这些数据安全。Equifax未能采取有效措施来尽可能阻止这场影响大约1.47亿消费者的违规行为。”

对于2017年的违规行为,Equifax已经于2018年9月接受了英国资料保护组织(ICO)开出的50万英镑罚单,这是1998年前一版GDPR数据保护法案所允许的最高罚款额。

2. 英国航空公司:2.3亿美元

尽管对可能出现的罚款规模存在各种威胁和恐慌,但欧盟通用数据保护条例(GDPR)的前12个月在惩罚行动方面的影响相对较小。欧洲大陆的数据保护公司所面临的数据泄露相关罚款数额相当较低——通常为数万或数十万欧元。由于大量资金正用于合规性工作且面临的违规惩罚看起来也很微弱,越来越多的人开始担心GDPR可能实际上只是“哑炮”!

就在这种质疑之声甚嚣尘上之时,英国航空公司被罚处了创纪录的1.83亿英镑(约合2.3亿美元),这是迄今为止最高的数据泄露罚款,超过了2018年Uber的1.48亿美元。

2018年9月,英国航空公司表示,其公司网络已经遭到破坏,网络犯罪分子可以获取8月21日-9月5日期间在其网站上预定票务的客户个人和财务详细信息。而造成此次事故的主要原因是英航的“安全措施失位”。在该事件中,犯罪分子利用匿名的第三方身份设立了一个钓鱼网站,用于接收英航服务器的重定向流量,并以此窃取用户个人数据,其中包括账号登录信息、信用卡信息、客户姓名、邮政地址、电子邮件地址和行程预订情况等。

调查发现,此次攻击背后的犯罪分子是Magecart团队之一。Magecart是至少七个网络威胁组织的总称,在电子商务网站上搞了很多事,用来收集用户的信用卡记录,包括Ticketmaster,British Airways和Newegg在内的数十个电子商务网站都被该集团攻陷。据悉,Magecart针对英国航空公司网站建立了定制化、有针对性的基础设施,以尽可能避免被发现。

2019年,英国信息专员办公室(ICO)针对英航的数据泄露事件向该航空公司发出罚款通知,总额为1.8339亿英镑,该罚款金额相当于英国航空公司2017年营业额的1.5%。

针对英国航空公司的罚款表明,GDPR确实有真正实施,数据保护机构并不害怕行使其权力。鉴于GDPR已经成为推动安全性进入议事程序的主要推动因素之一,这将为首席安全官以及隐私/合规提供新的动力,以进一步加强其安全计划。

3. Uber:1.48亿美元

2016年,两名黑客通过外部代码托管网站GitHub获得了Uber工程师在AWS上的账号和密码,从而盗取了Uber 5000万乘客的姓名、电子邮件和电话号码,以及约60万名美国司机的姓名和驾照号码。

尽管Uber表示,相信黑客并没有使用这些信息,也并未造成恶劣影响。但CNBC报道认为,这不同于仅有用户地址和信用卡信息的数据泄密,Uber同样还记录了“有关用户运动和旅行历史的详细数据”,这也就意味着,“黑客可以根据这些数据追却找到用户的位置,甚至是家庭住址。”

不是当时,该公司并没有报告此事件,而是向犯罪者支付了10万美元的封口费,以防止进一步的黑客入侵和删除被盗的数据。然而,这些行动让该公司付出了沉重的代价。2018年,Uber与50个州和哥伦比亚特区就其2016年的违规行为达成和解,并同意支付1.48亿美元的罚款——这是当时历史上最大的数据泄露罚款——因为违反了国家数据泄露通知法。

此外,作为和解协议的一部分,Uber还承诺改善其安全政策,并聘请外部人士监督其数据隐私保护工作,同时定期报告必要的改进。

4. 万豪国际集团:1.24亿美元

GDPR罚款就像公共汽车:有时候你久等不来,有时候一次来两个!就在英国航空公司(BA)面临罚款处罚几天后,英国信息专员办公室(ICO)再次就数据泄露事件开出了第二笔巨额罚单。

在大约5亿客户的支付信息、姓名、地址、电话号码、电子邮件地址和护照号码受到损害后,万豪国际集团被罚款9900万英镑(约1.24亿美元)。

据悉,万豪酒店于2018年9月8日发现了这一漏洞,但一直等到11月30日才对外披露了此事,而该漏洞甚至可以追溯到 2014 年的喜达屋酒店数据泄露问题(万豪于 2016 年收购喜达屋酒店),这使得攻击者有能力自2014年开始就访问喜达屋酒店数据库。至于受影响的用户数量,万豪给出的最初估值为5亿,现在也减少到了3.83亿。

虽然攻击者只复制了910万个加密的支付卡号码,但是长期存在的数据泄露现象使得他们能够访问数亿客户的敏感个人信息,包括护照复印件、出生日期以及酒店预订日期等等。

根据ICO的声明,万豪“购买喜达屋时未能进行充分的尽职调查,且没有采取更多的措施来保护其系统。”万豪首席执行官Arne Sorenson则表示,公司对罚款“感到失望”,并计划对罚款进行上诉。

除了这笔1.24亿美元的罚款外,该连锁酒店还被土耳其数据保护机构(不是根据GDPR法规)罚款150万里拉(约265,000美元),这也显示了一次数据泄露可能导致全球多次罚款。

5. 雅虎:8500万美元

2017年10月,雅虎宣布公司在2013年黑客入侵事件中共有30亿名用户的账号信息被窃取,这一数字在2016年12月的初步报告中还只是10亿。据悉,在此次事件中,遭到泄露的雅虎用户账号信息包括用户姓名、电子邮件地址、电话号码、出生日期、密码,以及一些安全问题和答案等。

2018年4月,美国证券交易委员会(SEC)因未能披露违规行为而对该公司罚款3500万美元——这是美国证券交易委员会首次因为一家公司未披露网络安全漏洞相关信息而对其加以处罚。2018年9月,雅虎的新老板Altaba承认已经解决因泄露数据而引发的集体诉讼——30亿账户的总帐单为8500万美元,平均每条记录赔偿约30美元。

6. 乐购银行(Tesco Bank):2100万美元

2018年,英国最大超市集团乐购旗下基于互联网的商业银行Tesco Bank收到了英国金融行为监管局(FCA)开出的1640万英镑(2120万美元)罚款,原因是2016年黑客从9,000个客户账户中偷走了大约300万美元。对此,FCA指控Tesco在借记卡设计、金融犯罪控制以及金融犯罪业务团队运营方面存在“缺陷”。

据悉,此次针对乐购的罚款,是FAC 首次对类似事件开出罚单。该机构表示,此次罚款旨在让公司管理层意识到问题严重性,一旦Tesco Bank 迅速反应,定期更新客户信息,组织欺诈交易,并动用大量资源,即可保障客户的安全。

7. 塔吉特(Target):1850万美元

2013年,塔吉特(Target)遭遇了美国零售行业历史上规模最大的数据泄露事件之一,其中约4,000万个信用卡和借记卡账户在感恩节后的黑色星期五销售热潮中被盗。后来的调查还发现了多达7000万人的姓名,地址,电话号码和电子邮件地址。相关的总成本超过2亿美元。

2017年5月,Target与美国47个州和华盛顿哥伦比亚特区,就2013年末的大规模数据泄露案件达成1850万美元和解协议。作为此次和解协议的一部分,该公司还要采取更先进测措施保护客户信息,例如,聘请一名高管负责部署全面的信息安全项目,并为CEO和董事会提供建议。该公司还要聘请一流的第三方团队开展全面的安全评估,并加密未受保护的银行卡信息,使之即使被盗也无法使用。

8. Anthem:1600万美元

美国健康保险公司Anthem在2015年遭遇了数据泄露,影响了7900万人,泄露数据涉及客户的姓名、生日、住址和医疗ID号等个人信息。2018年10月,该公司因违反健康保险流通与责任法案(HIPAA)而被美国卫生与人类服务部罚款1600万美元。

据悉,除了这笔罚款之外,该公司还在2017年同意支付1.15亿美元以解决与数据泄露行为有关的集体诉讼案。根据协议条款,总金额的1/3即3795万美元将用于支付律师费;另外1700万美元支付给负责受害者信用与身份监测服务的Experian公司;还有政府要征收的各种税费,也要从这1.15亿里面出。然后,受影响的消费者还需要填写必要的表单来申请获得自己的那一份补偿,包括他们因数据泄露而遭受的实际损失。但总额最多1500万美元,超出即不再受理付现申请。

9. 德克萨斯大学MD安德森癌症中心:430万美元

2018年6月,一名法官维持了对德克萨斯大学MD安德森癌症中心因违反HIPAA而罚款430万美元的原判结果。据悉,该癌症中心在2012年至2013年期间共计遭受了三次数据泄露事件,导致超过33,500人的健康信息丢失。在其中一次事件中,未加密的笔记本电脑从员工的住所被盗;另外两起事件则是涉及丢失未加密的U盘。

10. 北美费森尤斯医疗:350万美元

HIPAA再次受到挑战。2018年2月,北美费森尤斯医疗(FMCNA)因于2012年2月至7月期间在不同公司地点遭受五次数据泄露事件,而被罚款350万美元。根据民权办公室的一项调查发现,FMCNA未能“对其存储在不同实体中的所有健康信息的机密性、完整性和可用性的潜在风险和漏洞进行准确而全面的风险分析。”

这些“不作为”包括没有阻止未经授权访问设施和设备的行为、未能加密健康数据、没有对负责删除和保存健康数据的电子媒体进行管理,以及缺乏安全事件程序等等。

11. Cottage Health和Touchstone医学影像:各300万美元

2019年已经看到两起大型HIPAA数据泄露; Cottage Health和Touchstone医学影像各300万美元。

Cottage Health 因 2013 年和 2015 年的两次受保护电子医疗信息 (ePHI) 泄露而被罚,其泄露影响 6.25 万人。两起事件中,存有 ePHI 的服务器均被黑客通过互联网加以访问。

总部位于田纳西州的Touchstone医学影像公司则是因将超 30 万患者的受保护医疗信息 (PHI) 置于暴露在公网的 FTP 服务器上而被罚。Touchstone 曾在 2014 年收到过 FBI 对该服务器暴露情况的通告,但坚称自己没有暴露任何患者的 PHI。

美国卫生与人类服务部(HHS)发现,Touchstone“直到 FBI 和民权办公室都向其通报该泄露情况后数月,才开始认真调查该安全事件”。而且,HHS 称,向受影响个人发出数据泄露通报的动作“很不及时”,Touchstone “未能执行对潜在风险的准确全面分析”,该公司 “与其供应商之间未签署商业伙伴协议 (BAA)”。

12. Equifax和Facebook:各650,000美元

Equifax 和 Facebook 应该都可以算是幸运的。2018 年,英国信息专员办公室(ICO)依据 GDPR 之前的《数据保护法案》,对两家公司的数据保护不当行为开出了该法案所支持的最高额罚款——50 万英镑(折合约65 万美元)。若是在GDPR生效后,该罚金就会高得多了。Facebook 是因剑桥分析公司数据丑闻而遭受制裁,Equifax则是为其2017年的数据泄露事件买单。

推荐关注

指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室