火狐直播:迄今为止最大的几笔数据走漏处分及宽和

　　由于安全性单薄或可避免的人为失误等所导致的黑客进犯和数据偷盗，现已为全球企业形成了总计约 12.3 亿美元的经济丢掉。

　　对 2019 年数据走漏事情进行的大规划罚款评价标明，监管安排对那些不能正确维护顾客数据的安排越来越严厉。在英国，英国航空公司（BA）遭受了创纪录的 2.3 亿美元罚款，紧随其后的是万豪的 1.24 亿美元罚款；而在美国，Equifax 赞同为 2017 年的数据走漏事端付出至少 5.75 亿美元。

　　2018 年 9 月，优步与 50 个州和哥伦比亚特区就其 2016 年的违规行为达到宽和，并赞同付出 1.48 亿美元的罚款。维护不妥但却遭到严厉操控的健康数据也使医疗保健职业丢掉惨重，致使美国卫生和人类服务部（DHHS）开出越来越大的罚单。

　　2017 年，由于其数据库中未修补的 Apache Struts 结构，Equifax 走漏了近 1.5 亿用户的个人和财政信息，包含名字、地址、社会安全号码和出生日期等要害信息，在全社会引发巨大惊惧。这是美国前史上最严峻的数据安全事情，以美国人口 3.2 亿核算，受影响的超越 40%。据悉，该公司在补丁程序发布数月后仍未能修正该要害缝隙，并且在发现该缝隙数周后未能告诉大众该缝隙信息。

　　2019 年 7 月，Equifax 赞同付出 5.75 亿美元罚款并采纳合理办法维护其网络——根据 Equifax 与顾客金融维护局、联邦买卖委员会等监管部门达到全球宽和协议，该罚款金额或许添加至 7 亿美元。

　　根据这份宽和协议，Equifax 将树立一个 3 亿美元的顾客基金，为受影响的顾客供给现金补偿，假如初始资金不足以补偿顾客，还将别的添加 1.25 亿美元；一起，Equifax 还赞同付出 1.75 亿美元给 48 个州、哥伦比亚特区以及波多黎各，并向美国顾客金融维护局（CFPB）付出 1 亿美元的民事罚款和其他救助。除此之外，宽和协议还要求该公司每两年对其信息安全方案进行第三方评价。

　　从个人信息中获利的公司有额定的职责来维护和保证这些数据安全。Equifax 未能采纳有用办法来尽或许阻挠这场影响大约 1.47 亿顾客的违规行为。

　　关于 2017 年的违规行为，Equifax 现已于 2018 年 9 月接受了英国材料维护安排（ICO）开出的 50 万英镑罚单，这是 1998 年前一版 GDPR 数据维护法案所答应的最高罚款额。

　　尽管对或许呈现的罚款规划存在各种要挟和惊惧，但欧盟通用数据维护法令（GDPR）的前 12 个月在赏罚举动方面的影响相对较小。欧洲大陆的数据维护公司所面对的数据走漏相关罚款数额适当较低——一般为数万或数十万欧元。由于很多资金正用于合规性作业且面对的违规赏罚看起来也很弱小，越来越多的人开端忧虑 GDPR 或许实践上仅仅 哑炮 ！

　　就在这种质疑之声甚嚣尘上之时，英国航空公司被罚处了创纪录的 1.83 亿英镑（约合 2.3 亿美元），这是迄今为止最高的数据走漏罚款，超越了 2018 年 Uber 的 1.48 亿美元。

　　2018 年 9 月，英国航空公司标明，其公司网络现已遭到损坏，网络违法分子可以获取 8 月 21 日 -9 月 5 日期间在其网站上预定票务的客户个人和财政具体信息。而形成此次事端的首要原因是英航的 安全办法失位 。在该事情中，违法分子运用匿名的第三方身份设立了一个垂钓网站，用于接纳英航服务器的重定向流量，并以此盗取用户个人数据，其间包含账号登录信息、信誉卡信息、客户名字、邮政地址、电子邮件地址和行程预定状况等。

　　查询发现，此次进犯背面的违法分子是 Magecart 团队之一。Magecart 是至少七个网络要挟安排的总称，在电子商务网站上搞了很多事，用来搜集用户的信誉卡记载，包含 Ticketmaster，British Airways 和 Newegg 在内的数十个电子商务网站都被该集团攻陷。据悉，Magecart 针对英国航空公司网站树立了定制化、有针对性的基础设备，以尽或许避免被发现。

　　2019 年，英国信息专员办公室（ICO）针对英航的数据走漏事情向该航空公司宣告罚款告诉，总额为 1.8339 亿英镑，该罚款金额适当于英国航空公司 2017 年营业额的 1.5%。

　　针对英国航空公司的罚款标明，GDPR 的确有真实施行，数据维护安排并不惧怕行使其权利。鉴于 GDPR 现已成为推进安全性进入议事程序的首要推进要素之一，这将为首席安全官以及隐私 / 合规供给新的动力，以进一步加强其安全方案。

　　2016 年，两名黑客经过外部代码保管网站 GitHub 取得了 Uber 工程师在 AWS 上的账号和暗码，然后盗取了 Uber 5000 万乘客的名字、电子邮件和电线 万名美国司机的名字和驾照号码。

　　尽管 Uber 标明，信任黑客并没有运用这些信息，也并未形成恶劣影响。但 CNBC 报导以为，这不同于仅有用户地址和信誉卡信息的数据泄密，Uber 相同还记载了 有关用户运动和游览前史的具体数据 ，这也就意味着， 黑客可以根据这些数据追却找到用户的方位，乃至是家庭住址。

　　不是其时，该公司并没有陈述此事情，而是向违法者付出了 10 万美元的封口费，以避免进一步的黑客侵略和删去被盗的数据。可是，这些举动让该公司付出了沉重的价值。2018 年，Uber 与 50 个州和哥伦比亚特区就其 2016 年的违规行为达到宽和，并赞同付出 1.48 亿美元的罚款——这是其时前史上最大的数据走漏罚款——由于违背了国家数据走漏告诉法。

　　此外，作为宽和协议的一部分，Uber 还许诺改善其安全方针，并延聘外部人士监督其数据隐私维护作业，一起定时陈述必要的改善。

　　GDPR 罚款就像公共汽车：有时候你久等不来，有时候一次来两个！就在英国航空公司（BA）面对罚款处分几天后，英国信息专员办公室（ICO）再次就数据走漏事情开出了第二笔巨额罚单。

　　在大约 5 亿客户的付出信息、名字、地址、电话号码、电子邮件地址和护照号码遭到危害后，万豪世界集团被罚款 9900 万英镑（约 1.24 亿美元）。

　　据悉，万豪酒店于 2018 年 9 月 8 日发现了这一缝隙，但一向比及 11 月 30 日才对外发表了此事，而该缝隙乃至可以追溯到 2014 年的喜达屋酒店数据走漏问题（万豪于 2016 年收买喜达屋酒店），这使得进犯者有才能自 2014 年开端就拜访喜达屋酒店数据库。至于受影响的用户数量，万豪给出的开端估值为 5 亿，现在也削减到了 3.83 亿。

　　尽管进犯者只仿制了 910 万个加密的付出卡号码，可是长期存在的数据走漏现象使得他们可以拜访数亿客户的灵敏个人信息，包含护照复印件、出生日期以及酒店预定日期等等。

　　根据 ICO 的声明，万豪 购买喜达屋时未能进行充沛的尽职查询，且没有采纳更多的办法来维护其体系。 万豪首席履行官 Arne Sorenson 则标明，公司对罚款 感到绝望 ，并方案对罚款进行上诉。

　　除了这笔 1.24 亿美元的罚款外，该连锁酒店还被土耳其数据维护安排（不是根据 GDPR 法规）罚款 150 万里拉（约 265,000 美元），这也显现了一次数据走漏或许导致全球屡次罚款。

　　2017 年 10 月，yahoo宣告公司在 2013 年黑客侵略事情中共有 30 亿名用户的账号信息被盗取，这一数字在 2016 年 12 月的开端陈述中还仅仅 10 亿。据悉，在此次事情中，遭到走漏的yahoo用户账号信息包含用户名字、电子邮件地址、电话号码、出生日期、暗码，以及一些安全问题和答案等。

　　2018 年 4 月，美国证券买卖委员会（SEC）因未能发表违规行为而对该公司罚款 3500 万美元——这是美国证券买卖委员会初次由于一家公司未发表网络安全缝隙相关信息而对其加以处分。2018 年 9 月，yahoo的新老板 Altaba 供认现已处理因走漏数据而引发的团体诉讼—— 30 亿账户的总帐单为 8500 万美元，均匀每条记载补偿约 30 美元。

　　2018 年，英国最大超市集团乐购旗下根据互联网的商业银行 Tesco Bank 收到了英国金融行为监管局（FCA）开出的 1640 万英镑（2120 万美元）罚款，原因是 2016 年黑客从 9,000 个客户账户中偷走了大约 300 万美元。对此，FCA 指控 Tesco 在借记卡规划、金融违法操控以及金融违法事务团队运营方面存在 缺点 。

　　据悉，此次针对乐购的罚款，是 FAC 初次对相似事情开出罚单。该安排标明，此次罚款旨在让公司办理层意识到问题严峻性，一旦 Tesco Bank 敏捷反响，定时更新客户信息，安排诈骗买卖，并动用很多资源，即可保证客户的安全。

　　2013 年，塔吉特（Target）遭受了美国零售职业前史上规划最大的数据走漏事情之一，其间约 4,000 万个信誉卡和借记卡账户在感恩节后的黑色星期五出售热潮中被盗。后来的查询还发现了多达 7000 万人的名字，地址，电话号码和电子邮件地址。相关的总成本超越 2 亿美元。

　　2017 年 5 月，Target 与美国 47 个州和华盛顿哥伦比亚特区，就 2013 年底的大规划数据走漏案子达到 1850 万美元宽和协议。作为此次宽和协议的一部分，该公司还要采纳更先进测办法维护客户信息，例如，延聘一名高管担任布置全面的信息安全项目，并为 CEO 和董事会供给主张。该公司还要延聘一流的第三方团队展开全面的安全评价，并加密未受维护的银行卡信息，使之即便被盗也无法运用。

　　美国健康稳妥公司 Anthem 在 2015 年遭受了数据走漏，影响了 7900 万人，走漏数据触及客户的名字、生日、住址和医疗 ID 号等个人信息。2018 年 10 月，该公司因违背健康稳妥流转与职责法案（HIPAA）而被美国卫生与人类服务部罚款 1600 万美元。

　　据悉，除了这笔罚款之外，该公司还在 2017 年赞同付出 1.15 亿美元以处理与数据走漏行为有关的团体诉讼案。根据协议条款，总金额的 1/3 即 3795 万美元将用于付出律师费；别的 1700 万美元付出给担任受害者信誉与身份监测服务的 Experian 公司；还有政府要征收的各种税费，也要从这 1.15 亿里边出。然后，受影响的顾客还需要填写必要的表单来请求取得自己的那一份补偿，包含他们因数据走漏而遭受的实践丢掉。但总额最多 1500 万美元，超出即不再受理付现请求。

　　2018 年 6 月，一名法官保持了对德克萨斯大学 MD 安德森癌症中心因违背 HIPAA 而罚款 430 万美元的原判成果。据悉，该癌症中心在 2012 年至 2013 年期间合计遭受了三次数据走漏事情，导致超越 33,500 人的健康信息丢掉。在其间一次事情中，未加密的笔记本电脑从职工的居处被盗；别的两起事情则是触及丢掉未加密的 U 盘。

　　HIPAA 再次遭到应战。2018 年 2 月，北美费森尤斯医疗（FMCNA）因于 2012 年 2 月至 7 月期间在不同公司地址遭受五次数据走漏事情，而被罚款 350 万美元。根据民权办公室的一项查询发现，FMCNA 未能 对其存储在不同实体中的一切健康信息的机密性、完整性和可用性的潜在危险和缝隙进行精确而全面的危险剖析。

　　这些 不作为 包含没有阻挠未经授权拜访设备和设备的行为、未能加密健康数据、没有对担任删去和保存健康数据的电子媒体进行办理，以及缺少安全事情程序等等。

　　Cottage Health 因 2013 年和 2015 年的两次受维护电子医疗信息 ( ePHI ) 走漏而被罚，其走漏影响 6.25 万人。两起事情中，存有 ePHI 的服务器均被黑客经过互联网加以拜访。

　　总部坐落田纳西州的 Touchstone 医学影像公司则是因将超 30 万患者的受维护医疗信息 ( PHI ) 置于露出在公网的 FTP 服务器上而被罚。Touchstone 曾在 2014 年收到过 FBI 对该服务器露出状况的布告，但坚称自己没有露出任何患者的 PHI。

　　美国卫生与人类服务部（HHS）发现，Touchstone 直到 FBI 和民权办公室都向其通报该走漏状况后数月，才开端仔细查询该安全事情 。并且，HHS 称，向受影响个人宣告数据走漏通报的动作 很不及时 ，Touchstone 未能履行对潜在危险的精确全面剖析 ，该公司 与其供货商之间未签署商业伙伴协议 ( BAA ) 。

　　Equifax 和 Facebook 应该都可以算是走运的。2018 年，英国信息专员办公室（ICO）根据 GDPR 之前的《数据维护法案》，对两家公司的数据维护不妥行为开出了该法案所支撑的最高额罚款—— 50 万英镑（折合约 65 万美元）。若是在 GDPR 收效后，该罚金就会高得多了。Facebook 是因剑桥剖析公司数据丑闻而遭受制裁，Equifax 则是为其 2017 年的数据走漏事情买单。