写点什么

数据泄露天价罚单开出 英航、万豪将为用户损失买单

  • 2019-07-12
  • 本文字数:3654 字

    阅读完需:约 12 分钟

数据泄露天价罚单开出 英航、万豪将为用户损失买单

近日,英国数据安全监管部门(ICO)大刀阔斧地对涉及数据泄露的企业做出了处罚,先后开出两张巨额罚单,英国航空、万豪酒店纷纷中枪。在此次事件中心,有一个“幕后推手”发挥着重要的作用,它就是 2018 年 5 月 25 日由欧盟推出的《通用数据保护条例》(General Data Protection Regulation,简称 GDPR)。GDPR 自推出之时曾被坊间称为“欧洲最严隐私法案“,Google,Facebook 等科技巨头都曾受到监管。然而,与今年 1 月 Google 遭法国当局罚款 5000 万欧元的情况不同,外媒对最近接连曝出的两起事件表示了一定程度的惊讶,尤其是对英国航空即将面临 1.83 亿英镑罚款的消息,因为它是 ICO 根据 GDPR 做出的第一次处罚,同时也是 ICO 开出的最大一笔罚单。不难看出,巨额罚款的背后也表明了 ICO 未来在保护数据安全方面的决心。


最近几年,数据泄露事件时有发生。2018 年 3 月,Facebook 被曝出 8700 多万用户的数据泄露,Facebook 创始人 Mark Elliot Zuckerberg 公开道歉,其市值因此大幅下跌;同月,美国运动品牌 Under Armour 旗下的健身应用 MyFitnessPal 因存在数据漏洞,遭到黑客攻击,造成超过 1.5 亿用户的数据外泄。2018 年 8 月,华住旗下所有酒店的数据被曝公开售卖,涉及数据达 5 亿条之巨……可以说,每一起数据泄露事件的发生都会对企业带来毁灭性的影响。然而,用户损失却很少有人问津。近日,ICO 对两家公司的处罚决定让企业为用户损失买了单。


ICO 开出首张巨额罚单:英国航空 1.83 亿英镑

根据英国航空的说法,数据泄露事件发生在 2018 年 8 月 21 日至 9 月 5 日之间。网络攻击者在英国航空公司的网站与移动应用程序中植入了一个病毒版本的 Modernizr JavaScript 库。随后,用户被转到一个虚假欺诈网站,导致约 50 万名用户的多种信息被攻击者窃取。其中包括用户姓名与地址、登录信息、支付卡信息、旅行预定详情等。但是,人们从 ICO 方面了解到,此次数据泄露早在 2018 年 6 月已经开始。


一些专业人士就引起数据泄露的技术问题进行了分析。第三方安全管理供应商 Panorays 的联合创始人兼首席执行官 Matan Or-El 表示,黑客需要能够替换英国航空公司网站上的某些文件,才能植入有毒库。然而,这取决于有问题的 JavaScript 库是否真的位于英国航空的资源上。应用安全公司 ImmuniWeb 的创始人兼首席执行官 Ilia Kolochenko 补充说,“如今,有许多错综复杂的途径将恶意代码注入合法页面。例如,有时开发人员错误地输入托管外部[JavaScript]库的域名,攻击者只需注册域名并在其中放置恶意软件,而不是库。其他公司购买他们自己的域来托管第三方代码,然后忘记更新域名,将这个机会交给了网络攻击者。”


目前,英国航空已配合 ICO 展开调查,并对安保系统进行了完善。


英国航空因数据泄露受罚是自 GDPR 生效以来 ICO 公布的第一次处罚。此次罚款金额约占其 2017 年全年营收的 1.5%,英国航空对此表示“惊讶和失望”。技术记者 Rory Cellan-Jones 表示,这一罚款金额令人“脊背发凉”。“毕竟这个数字大约是 Facebook 罚金的 367 倍,但两起事件所依据的法规不同,根据 GDPR,最高罚款金额可达年营收的 4%。”据了解,Facebook 曾因剑桥分析丑闻被处以 50 万英镑的巨额罚款,这是此前数据保护规定下的最高罚金,当时 GDPR 还未实施。


接到处罚通知后,英国航空有 20 天的上诉期。其母公司国际航空集团 (IAG)首席执行官 Willie Walsh 表示,“我们试图采取所有适当措施来积极捍卫英国航空,包括提出上诉” 。英国航空方面称,公司对于窃取用户数据的犯罪行为反应迅速,且并没有发现与这名黑客相关的账户欺诈活动。


至于罚款的流向,据了解,罚金中分给 ICO 的部分将直接转入英国财政部,剩余部分会在其它受影响的欧洲数据当局之间划分。

万豪紧随其后 被罚 9920 万英镑

在 ICO 对英国航空开出罚单的第二天,万豪同样接到了处罚通知


2018 年 11 月,该公司泄露了约 5 亿名客户的记录,因而被处以 9920 万英镑的罚款。与英国航空的情况不同,万豪的数据泄露事件还涉及到 2016 年对喜达屋的收购。


据悉,2014 年喜达屋的系统遭到入侵后,该漏洞就已经开始出现。2015 年 11 月,喜达屋被万豪收购。但直到 2018 年底,用户数据泄露的情况才被万豪发现。在这四年间,全球约 3.39 亿条客座记录中的个人数据泄露。其中,约 3000 万条与欧洲经济区(EEA) 的 31 个国家的用户有关,700 万条与英国居民有关。这些数据包括客户姓名、邮寄地址、电话号码、电子邮箱、护照号码、喜达屋首选的客户账户信息、抵离信息、预订日期和沟通偏好等等。


ICO 认为,万豪在企业并购时缺乏全面的调查。信息专员 Elizabeth Denham 在一份声明中指出:“GDPR 明确规定,组织必须对其持有的个人数据负责。这包括收购时进行适当的尽职调查,采取适当的问责措施,以评估所取得的个人资料,并确保如何保障这些资料的安全。”安防公司 AttackIQ Inc.的首席信息安全长 Chris Kennedy 评价,“并购是企业所能承担的风险最大的事情之一……在此次并购中,测试当前安全系统的韧性本可以帮助其及时发现漏洞,避免更严重的影响产生。”


尽管此次事件中大部分由黑客攻击导致的数据泄露发生在 GDPR 出台之前,但处罚决定是根据 2018 年 5 月生效的 GDPR 做出的。


目前,万豪有 28 天的时间对该决定提出上诉。万豪国际总裁兼首席执行官 Arne Sorenson 表示,“我们对 ICO 的意向通知感到失望,并将对此进行抗辩。”

2019 年,GDPR 的亮剑之年?

从上述两起数据泄露事件中,人们可以清晰地看到 GDPR 的金融手段正在不断激起大公司对数据安全方面的思考。与此同时,GDPR 本身也再次走入大众关注的视野。


GDPR是欧盟议会于 2016 年 4 月通过的有关用户数据保护的新规,前身是欧盟于 1995 年颁布的《数据保护指令》。经过两年过渡期后,于 2018 年 5 月 25 日正式生效。该法规被认为是 20 年间欧盟对数据隐私保护影响最大的法规。


与 1995 年出台的“指令”不同,GDPR 具有强制力,不要求政府通过任何立法。此外,在适用范围、数据主体权利、个人同意条件、数据处理者责任、隐私保护、影响评估、执法与处罚力度等十余个维度都给出了更明确的限定,提出了更高的要求。有观点称,如果说 1995 年的“指令”主要适用于控制者,处理者通过合同承担数据保护责任。那么,GDPR 对控制者、处理者在多数情况下均提出了相同的要求。例如,承担对数据的安全保障义务,在管理措施、技术上采取必要措施,包括指定 DPO、在发生数据泄露事故时及时报告控制者等。业内人士称,英国航空和万豪酒店罚款的部分后果可能导致数据控制者争先恐后地与数据处理商重新协商合同中的责任。更进一步的是,GDPR 对于处理者的专门规定,深入到了处理者(云服务商)与控制者(云客户)之间的权利义务关系配置,而在过去,这些内容则完全交由合同、市场自行处理。


今年 5 月,ICO 出版了《GDPR:One Year On》,该报告讲述了自 2018 年 5 月 25 日生效以来 GDPR 带来的影响与形成的经验。报告重申了 ICO 基于风险的执法方法,主要关注了涉及大量个人与弱势群体的高度敏感信息的 GDPR 违规行为。报告传递出的一个重要讯息是,“要想真正嵌入 GDPR 并让人们充分理解新立法的影响,还有很长的路要走。”


ICO2018-2019年度报告显示,ICO 在本年度曾做出 22 次金融处罚,涉及 Equifax,Facebook,Uber,Yahoo 等公司。据外媒 The Register 报道,截至 2018 年 4 月,ICO 为数据泄露事件开出了共计 300 万英镑的罚单,而这仅仅是最近曝出的 GDPR 对英国航空公司和万豪酒店的处罚的一小部分。尽管如此,两家公司面临的罚款金额的的绝对数量远低于 GDPR 允许的最高限额。但是在 GDPR 生效以前,根据英国的数据保护法案,最高罚款“仅”为 50 万英镑。ICO 的决定充分表明其未来并不打算避免征收巨额罚款,不难想象,这与近期大量网络数据泄露事件成正比。因此,这会是 ICO 推进 GDPR 的转折点吗?


ICO 指出,GDPR 第二年的工作重点在于要求“(企业或组织)不得只遵守最低标准。组织需要将重点转向问责制,真正理解它们的数据处理方式会给个人带来什么样的风险,以及如何减少这些风险,而为直接公开发行提供良好的支持是实现有效问责的核心“。尽管支持 GDPR 的多利益相关方专家组(MEG)担心部分部门可能缺少有效资源来执行新任务,但 ICO 至少已经开始发展配合其新权力与责任的人员。未来,该组织将专注于各类监管(例如网络安全),并努力在全球隐私和信息权利领域发挥重要的领导作用。当然,光鲜的成绩单背后,ICO 显然还有许多工作要做。


CrownPeak 产品管理总监 Gabe Morazan 在评价最近 GDPR 开出的两笔巨额罚单时还提到,“如果你看看通过 RTB 网络和程序化广告收集和传递的数据量,就会发现,这是一笔庞大的消费者数据,有可能在规模和范围上(受到英国航空和万豪罚款影响的客户)类似”。他总结道,“2019 年是(GDPR 的)执行之年”。


相关文章:


British Airways faces record £183m fine for data breach


GDPR bites again: Marriott facing $123.6M fine for 2018 data breach


‘2019 is the year of enforcement’: GDPR fines have begun


2019-07-12 00:086863
用户头像
王文婧 InfoQ编辑

发布了 126 篇内容, 共 70.6 次阅读, 收获喜欢 275 次。

关注

评论

发布
暂无评论
发现更多内容

Canvas入门实战之用javascript面向对象实现一个图形验证码

徐小夕

Java 大前端 canvas

anyRTC实时音视频-社交娱乐解决方案

anyRTC开发者

ios android 音视频 WebRTC RTC

盘点2020 | 疫情下的思考和学习

soolaugust

盘点2020

为了SpringBoot提交Tomcat执行,我总结了这么多

小Q

tomcat 学习 面试 微服务 springboot

在线医疗的发展和优势

anyRTC开发者

android 音视频 WebRTC RTC 医疗方案

《大数据算法》.pdf

田维常

算法

架构师训练营W09作业

Geek_f06ede

SPI 在 Dubbo中 的应用

vivo互联网技术

Java jdk dubbo spi

答了Mybatis这个问题后,面试官叫我回去等通知……

田维常

mybatis

dubbogo 3.0:牵手 gRPC 走向云原生时代

阿里巴巴云原生

gRPC 云原生 中间件 dubbo-go Go 语言

一文带你彻底了解大数据处理引擎Flink内存管理

华为云开发者联盟

大数据 数据 处理

【经验分享】RTC技术系列之音频编解码

Hanson

硬核编程:30天=一个网站+一份周刊

老魚

程序员 建站 web全栈

盘点2020 | 30岁了,我终于入门编程了

盘点2020

通过Postman和coding.net发布API

太极程序员

Postman API

DeFi(去)中心化DAPP系统软件开发

系统开发

EZYTRX波场智能合约APP系统软件开发

系统开发

解析字节算法面试真题,深入探究ArrayList应用原理

小Q

Java 学习 编程 架构 面试

如何快速打造一款钉钉 Go sdk

Ceelog

钉钉 企业微信 Go 语言

产品策略闭环是个什么环?

万事ONES

项目管理 团队协作 需求管理 需求分析 产品策略

腾讯高工强烈推荐的“Netty速成手册”原理+应用+调优,带你将知识点一网打尽

比伯

Java 编程 程序员 架构 Netty

什么是全场景AI计算框架MindSpore?

华为云开发者联盟

人工智能 AI mindspore

LeetCode题解:127. 单词接龙,BFS+统计单词变化次数,JavaScript,详细注释

Lee Chen

算法 大前端 LeetCode

码了2000多行代码就是为了讲清楚TLS握手流程(续)

Gopher指北

https Go 语言

Prometheus TSDB(Part 2):预写日志(WAL)和检查点

Grafana 爱好者

云原生 Prometheus tsdb 可观察性

智慧城市建设,社区智能化系统搭建解决方案

t13823115967

智慧城市 平安小区

智慧警务可视化平台开发,重点人员管控系统搭建

t13823115967

智慧公安 智慧警务系统开发

IDEA 文档插件 DocView 版本更新:修改 UI 并支持 IDEA 2020.3 !

程序员小航

idea插件 IntelliJ IDEA 文档生成

硬肝到秃头!Alibaba强推并发编程笔记我跪了,真的学到好多东西!

Java架构追梦

Java 学习 架构 面试 并发编程

从 JMM 透析 volatile 与 synchronized 原理

码哥字节

volatile JVM JMM Java 25 周年 synchronized

DolphinDB与MongoDB在时序数据上的对比测试

DolphinDB

mongodb 分布式系统 时序数据库 DolphinDB 数据库开发

数据泄露天价罚单开出 英航、万豪将为用户损失买单_大数据_王文婧_InfoQ精选文章