Dixons Carphone最近被处以50万英镑的罚款。此前,英国信息专员办公室(ICO)的一项调查得出结论,这家零售商在保护个人数据方面的一系列“系统性失误”,导致约1400万客户的信息被网络罪犯窃取。
这一黑客活动在2017年7月至2018年4月期间非常活跃,导致5390个销售点(POS)系统、Currys PC World和DSG Retail Ltd.旗下的Dixons Travel Stores上安装了恶意软件。
ICO的调查报告描述了数据泄露是如何由于“与基本的、常见的安全措施相关的失败”而发生的。
总共有5,529,349张EMV芯片和pin卡的数据,包括主账户号和到期日。52,788张非emv卡(可能来自英国以外的购物者)的账号和有效期限,以及8,629张卡的持卡人姓名都被记录了下来。
此外,根据DSG的计算,在最坏的情况下,1000万条记录(如姓名、地址和电话号码)也会从其服务器上被窃取,另外还有290万条记录可能被窃取,另外还有包含470万条记录的数据库的73%被窃取。总而言之,这次黑客攻击可能看到1400万人的数据被黑客窃取,而这些人还没有被抓住。
虽然这起入侵事件直到2018年6月才被曝光,但入侵者在网络上活动的时间早于2018年5月欧盟(eu)全面数据保护立法(general Data Protection Legislation,简称GDPR)生效之前。如果仅仅几个月后,DSG就会面临高达全球年营业额4%的巨额罚款。根据1998年的数据保护法案,最高罚款金额为50万英镑。
英国保险公司调查主管史蒂夫•埃克斯利(Steve Eckersley)表示:“这起案件中的违规行为如此严重,以至于我们根据之前的立法对其处以了最高罚款,但根据GDPR的规定,罚款金额必然要高得多。”
根据GDPR的罚款要高得多;今年7月,英国航空(British Airways)被罚款1.83亿英镑,万豪酒店(marriott Hotels)被罚款9900万英镑。
ICO关于DSG漏洞的报告称:“特别令人担忧的是,任何这样的系统都需要一些基本的、通用的措施,而这些措施又有很多不足之处。”
在其他问题中,ICO发现DSG的网络隔离不够,而且没有为POS终端配置本地防火墙。它表示,DSG对其域名控制器的软件修补方法是不充分的,而且对受损害环境的漏洞扫描没有定期进行。
ICO表示,DSG没有一个有效的日志和监控系统来识别和应对事件,也没有有效地管理其POS系统的安全。
其他处理个人数据的零售商和机构应该确保自己已经涵盖了所有这些问题。
“所有处理消费者数据的组织都将成为目标。考虑到这一点,保持压力测试系统;确保你把每件事都进行了审查。让安全顾问尝试入侵系统;只需对其进行测试,以确保它具有足够的抵抗力,”巴洛罗宾斯公司(Barlow Robbins)知识产权技术和媒体主管劳丽•海兹勒(Laurie Heizler)表示。
“如果我是零售商,我会认真考虑你们现有的安全架构。如果我是其中一家机构的董事,我就会要求我的团队向我解释,为什么这种情况不会发生在我们身上,为什么我们不会得到类似的决定,”Kemp Little LLP的商业技术合伙人艾玛•赖特(Emma Wright)表示。
Dixons Carphone因1400万人的数据泄露被罚款50万英镑
Dixons Carphone对ICO罚款的决定并不满意,公司正在考虑上诉。
Dixons Carphone的首席执行官Alex Baldock说:“我们已经升级了我们的检测和响应能力,正如ICO承认的那样,我们已经在我们的信息安全系统和流程上做了大量的投资。”
“我们对ICO的一些关键发现感到失望,这些发现是我们之前质疑并一直争论的。我们正在详细研究他们的结论,并考虑我们上诉的理由。”
