写点什么

数据泄露天价罚单开出 英航、万豪将为用户损失买单

  • 2019-07-12
  • 本文字数:3654 字

    阅读完需:约 12 分钟

数据泄露天价罚单开出 英航、万豪将为用户损失买单

近日,英国数据安全监管部门(ICO)大刀阔斧地对涉及数据泄露的企业做出了处罚,先后开出两张巨额罚单,英国航空、万豪酒店纷纷中枪。在此次事件中心,有一个“幕后推手”发挥着重要的作用,它就是 2018 年 5 月 25 日由欧盟推出的《通用数据保护条例》(General Data Protection Regulation,简称 GDPR)。GDPR 自推出之时曾被坊间称为“欧洲最严隐私法案“,Google,Facebook 等科技巨头都曾受到监管。然而,与今年 1 月 Google 遭法国当局罚款 5000 万欧元的情况不同,外媒对最近接连曝出的两起事件表示了一定程度的惊讶,尤其是对英国航空即将面临 1.83 亿英镑罚款的消息,因为它是 ICO 根据 GDPR 做出的第一次处罚,同时也是 ICO 开出的最大一笔罚单。不难看出,巨额罚款的背后也表明了 ICO 未来在保护数据安全方面的决心。


最近几年,数据泄露事件时有发生。2018 年 3 月,Facebook 被曝出 8700 多万用户的数据泄露,Facebook 创始人 Mark Elliot Zuckerberg 公开道歉,其市值因此大幅下跌;同月,美国运动品牌 Under Armour 旗下的健身应用 MyFitnessPal 因存在数据漏洞,遭到黑客攻击,造成超过 1.5 亿用户的数据外泄。2018 年 8 月,华住旗下所有酒店的数据被曝公开售卖,涉及数据达 5 亿条之巨……可以说,每一起数据泄露事件的发生都会对企业带来毁灭性的影响。然而,用户损失却很少有人问津。近日,ICO 对两家公司的处罚决定让企业为用户损失买了单。


ICO 开出首张巨额罚单:英国航空 1.83 亿英镑

根据英国航空的说法,数据泄露事件发生在 2018 年 8 月 21 日至 9 月 5 日之间。网络攻击者在英国航空公司的网站与移动应用程序中植入了一个病毒版本的 Modernizr JavaScript 库。随后,用户被转到一个虚假欺诈网站,导致约 50 万名用户的多种信息被攻击者窃取。其中包括用户姓名与地址、登录信息、支付卡信息、旅行预定详情等。但是,人们从 ICO 方面了解到,此次数据泄露早在 2018 年 6 月已经开始。


一些专业人士就引起数据泄露的技术问题进行了分析。第三方安全管理供应商 Panorays 的联合创始人兼首席执行官 Matan Or-El 表示,黑客需要能够替换英国航空公司网站上的某些文件,才能植入有毒库。然而,这取决于有问题的 JavaScript 库是否真的位于英国航空的资源上。应用安全公司 ImmuniWeb 的创始人兼首席执行官 Ilia Kolochenko 补充说,“如今,有许多错综复杂的途径将恶意代码注入合法页面。例如,有时开发人员错误地输入托管外部[JavaScript]库的域名,攻击者只需注册域名并在其中放置恶意软件,而不是库。其他公司购买他们自己的域来托管第三方代码,然后忘记更新域名,将这个机会交给了网络攻击者。”


目前,英国航空已配合 ICO 展开调查,并对安保系统进行了完善。


英国航空因数据泄露受罚是自 GDPR 生效以来 ICO 公布的第一次处罚。此次罚款金额约占其 2017 年全年营收的 1.5%,英国航空对此表示“惊讶和失望”。技术记者 Rory Cellan-Jones 表示,这一罚款金额令人“脊背发凉”。“毕竟这个数字大约是 Facebook 罚金的 367 倍,但两起事件所依据的法规不同,根据 GDPR,最高罚款金额可达年营收的 4%。”据了解,Facebook 曾因剑桥分析丑闻被处以 50 万英镑的巨额罚款,这是此前数据保护规定下的最高罚金,当时 GDPR 还未实施。


接到处罚通知后,英国航空有 20 天的上诉期。其母公司国际航空集团 (IAG)首席执行官 Willie Walsh 表示,“我们试图采取所有适当措施来积极捍卫英国航空,包括提出上诉” 。英国航空方面称,公司对于窃取用户数据的犯罪行为反应迅速,且并没有发现与这名黑客相关的账户欺诈活动。


至于罚款的流向,据了解,罚金中分给 ICO 的部分将直接转入英国财政部,剩余部分会在其它受影响的欧洲数据当局之间划分。

万豪紧随其后 被罚 9920 万英镑

在 ICO 对英国航空开出罚单的第二天,万豪同样接到了处罚通知


2018 年 11 月,该公司泄露了约 5 亿名客户的记录,因而被处以 9920 万英镑的罚款。与英国航空的情况不同,万豪的数据泄露事件还涉及到 2016 年对喜达屋的收购。


据悉,2014 年喜达屋的系统遭到入侵后,该漏洞就已经开始出现。2015 年 11 月,喜达屋被万豪收购。但直到 2018 年底,用户数据泄露的情况才被万豪发现。在这四年间,全球约 3.39 亿条客座记录中的个人数据泄露。其中,约 3000 万条与欧洲经济区(EEA) 的 31 个国家的用户有关,700 万条与英国居民有关。这些数据包括客户姓名、邮寄地址、电话号码、电子邮箱、护照号码、喜达屋首选的客户账户信息、抵离信息、预订日期和沟通偏好等等。


ICO 认为,万豪在企业并购时缺乏全面的调查。信息专员 Elizabeth Denham 在一份声明中指出:“GDPR 明确规定,组织必须对其持有的个人数据负责。这包括收购时进行适当的尽职调查,采取适当的问责措施,以评估所取得的个人资料,并确保如何保障这些资料的安全。”安防公司 AttackIQ Inc.的首席信息安全长 Chris Kennedy 评价,“并购是企业所能承担的风险最大的事情之一……在此次并购中,测试当前安全系统的韧性本可以帮助其及时发现漏洞,避免更严重的影响产生。”


尽管此次事件中大部分由黑客攻击导致的数据泄露发生在 GDPR 出台之前,但处罚决定是根据 2018 年 5 月生效的 GDPR 做出的。


目前,万豪有 28 天的时间对该决定提出上诉。万豪国际总裁兼首席执行官 Arne Sorenson 表示,“我们对 ICO 的意向通知感到失望,并将对此进行抗辩。”

2019 年,GDPR 的亮剑之年?

从上述两起数据泄露事件中,人们可以清晰地看到 GDPR 的金融手段正在不断激起大公司对数据安全方面的思考。与此同时,GDPR 本身也再次走入大众关注的视野。


GDPR是欧盟议会于 2016 年 4 月通过的有关用户数据保护的新规,前身是欧盟于 1995 年颁布的《数据保护指令》。经过两年过渡期后,于 2018 年 5 月 25 日正式生效。该法规被认为是 20 年间欧盟对数据隐私保护影响最大的法规。


与 1995 年出台的“指令”不同,GDPR 具有强制力,不要求政府通过任何立法。此外,在适用范围、数据主体权利、个人同意条件、数据处理者责任、隐私保护、影响评估、执法与处罚力度等十余个维度都给出了更明确的限定,提出了更高的要求。有观点称,如果说 1995 年的“指令”主要适用于控制者,处理者通过合同承担数据保护责任。那么,GDPR 对控制者、处理者在多数情况下均提出了相同的要求。例如,承担对数据的安全保障义务,在管理措施、技术上采取必要措施,包括指定 DPO、在发生数据泄露事故时及时报告控制者等。业内人士称,英国航空和万豪酒店罚款的部分后果可能导致数据控制者争先恐后地与数据处理商重新协商合同中的责任。更进一步的是,GDPR 对于处理者的专门规定,深入到了处理者(云服务商)与控制者(云客户)之间的权利义务关系配置,而在过去,这些内容则完全交由合同、市场自行处理。


今年 5 月,ICO 出版了《GDPR:One Year On》,该报告讲述了自 2018 年 5 月 25 日生效以来 GDPR 带来的影响与形成的经验。报告重申了 ICO 基于风险的执法方法,主要关注了涉及大量个人与弱势群体的高度敏感信息的 GDPR 违规行为。报告传递出的一个重要讯息是,“要想真正嵌入 GDPR 并让人们充分理解新立法的影响,还有很长的路要走。”


ICO2018-2019年度报告显示,ICO 在本年度曾做出 22 次金融处罚,涉及 Equifax,Facebook,Uber,Yahoo 等公司。据外媒 The Register 报道,截至 2018 年 4 月,ICO 为数据泄露事件开出了共计 300 万英镑的罚单,而这仅仅是最近曝出的 GDPR 对英国航空公司和万豪酒店的处罚的一小部分。尽管如此,两家公司面临的罚款金额的的绝对数量远低于 GDPR 允许的最高限额。但是在 GDPR 生效以前,根据英国的数据保护法案,最高罚款“仅”为 50 万英镑。ICO 的决定充分表明其未来并不打算避免征收巨额罚款,不难想象,这与近期大量网络数据泄露事件成正比。因此,这会是 ICO 推进 GDPR 的转折点吗?


ICO 指出,GDPR 第二年的工作重点在于要求“(企业或组织)不得只遵守最低标准。组织需要将重点转向问责制,真正理解它们的数据处理方式会给个人带来什么样的风险,以及如何减少这些风险,而为直接公开发行提供良好的支持是实现有效问责的核心“。尽管支持 GDPR 的多利益相关方专家组(MEG)担心部分部门可能缺少有效资源来执行新任务,但 ICO 至少已经开始发展配合其新权力与责任的人员。未来,该组织将专注于各类监管(例如网络安全),并努力在全球隐私和信息权利领域发挥重要的领导作用。当然,光鲜的成绩单背后,ICO 显然还有许多工作要做。


CrownPeak 产品管理总监 Gabe Morazan 在评价最近 GDPR 开出的两笔巨额罚单时还提到,“如果你看看通过 RTB 网络和程序化广告收集和传递的数据量,就会发现,这是一笔庞大的消费者数据,有可能在规模和范围上(受到英国航空和万豪罚款影响的客户)类似”。他总结道,“2019 年是(GDPR 的)执行之年”。


相关文章:


British Airways faces record £183m fine for data breach


GDPR bites again: Marriott facing $123.6M fine for 2018 data breach


‘2019 is the year of enforcement’: GDPR fines have begun


2019-07-12 00:087144
用户头像
王文婧 InfoQ编辑

发布了 126 篇内容, 共 75.0 次阅读, 收获喜欢 277 次。

关注

评论

发布
暂无评论
发现更多内容

5 款阿里常用代码检测工具,免费用!

阿里巴巴云原生

阿里云 云原生 云效

内核模式(Kernel Mode)vs 用户模式(User Mode)

Fox666

白瞟党福音!Alibaba内部最新Java开发手册(嵩山版)灵魂17问

Java 编程 架构 面试 架构师

Apache Flink 在京东的实践与优化

Apache Flink

大数据 flink

微信后台基于时间序的海量数据冷热分级架构设计实践

OpenIM

一文搞定Matplotlib各个示例

华为云开发者联盟

Python 深度学习 Numpy matplotlib 绘图库

老板:把系统从单体架构升级到集群架构!

程序员 架构 分布式 后端 计算机

我们是如何在研发过程中控制质量的?产品质量正变得越来越重要

爱数技术范儿

大数据 软件工程

Flink 在顺丰的应用实践

Apache Flink

大数据 flink

数据结构是存储的基石

卢卡多多

数据结构 9月日更

Grafana Labs 携手阿里云,将提供国内首款 Grafana 托管服务

阿里巴巴云原生

云计算 阿里云 云原生 可视化 Grafana

Redis 6.0 多线程重磅发布!来了解一下吧

Linux服务器开发

数据库 redis 网络编程 Linux服务器开发 单线程

阿里最新21版Java面试系列手册已出炉,竟堪称GitHub面试杀手锏

Java~~~

Java 架构 面试 JVM 面经

私有化部署竟是企业对低代码选型的重要要素

低代码小观

企业 开发工具 云服务器 低代码平台 私有化部署

百度混部实践系列 | 如何提高 K8S 集群资源利用率?

百度开发者中心

最佳实践 方法论 k8s

关系型数据库,NoSQL数据库,NewSQL数据库权威整理

hanaper

腾讯质量效能提升最佳实践:智能自动化测试探索和建设

WeTest

计算机工业的生态链(一)

姬翔

9月日更

大厂炸锅了!这份全程无尿点的Java彩版面试开挂攻略在GitHub火了

Java~~~

Java MySQL 架构 面试 JVM

伴鱼:借助 Flink 完成机器学习特征系统的升级

Apache Flink

大数据 flink

webrtc NACK与RTX

webrtc developer

WebRTC NACK

多租户是一种技术

金蝶天燕云

多租户

白嫖!一口总结了金九银十(P5-P7级)1000多道Java面试题,20+大厂必考点及Java面试框架知识点!

Java 程序员 架构 面试 计算机

熬了3天2夜,啃完阿里(珠峰版)Java面试笔记,直接斩获12家大厂offer,

Java架构师迁哥

消息系统的演进:从MOM、ESB到下一代云原生的分布式消息系统

金蝶天燕云

分布式消息

你们想知道的一切,都在这里了。

ApacheDoris

Apache 开源社区

恰逢金九银十!阿里P8连夜赶稿一份基于实例驱动的设计模式笔记

Java 编程 架构 面试 阿里

Flink 1.14 新特性预览

Apache Flink

大数据 flink

搞懂 ArrayBuffer、TypedArray、DataView 的对比和使用

每天进步亿点点

9月日更

GitHub上火了的MySQL性能调优手册,全篇无废话不愧是清华神人

Java~~~

Java MySQL 数据库 架构 面试

PhxSQL设计与实现(详细版)

OpenIM

数据泄露天价罚单开出 英航、万豪将为用户损失买单_大数据_王文婧_InfoQ精选文章