过去十年数据泄露巨额罚款TOP10
2019 年多家企业的数据泄露事故被处以巨额罚款,这表明监管机构对那些未能妥善保护消费者数据的组织的容忍度越来愈低。在英国,英国航空公司遭受了创纪录的 2.3 亿美元罚款,紧随其后的是对万豪集团的 1.24 亿美元罚款。而在美国,Equifax 同意为其 2017 年的违规行为支付至少 5.75 亿美元。
值得注意的是,罚款在企业数据泄露损失中所占的比例很少,根据卡巴斯基 2019 年的企业数据泄露成本分析报告(下图),企业数据泄露事故损失的前五项分别是:信用/保险损失、外部专家招聘、业务损失、公关成本和内部(安全岗位)加薪。
以额外的(安全岗位)加薪为例,Equifax 的 CISO 在数据泄露事故发生前年薪只有几十万美元,但在大规模数据泄露事故后,该岗位薪水立刻飙升到了近 300 万美元。
因此,当我们观摩下面这个数据泄露罚款 TOP10 榜单时,应当清楚这些罚款金额只是企业数据泄露总体成本的一小部分。
第一名 Equifax:高于5.75亿美元
2017 年,由于一个数据库未及时安装 Apache Struts 框架的严重漏洞补丁,Equifax 损失了近 1.5 亿条个人和财务信息。
2019 年 7 月,Equifax 同意向联邦贸易委员会,消费者金融保护局 (CFPB) 以及美国所有 50 个州和地区就该公司的“事故” 支付 5.75 亿美元,可能增至 7 亿美元。并承诺采取合理的方法来保护其网络。
第二名 英国航空:2.3亿美元
过去一年中欧盟《通用数据保护条例》(GDPR) 的惩罚措施大多较轻,对欧洲大陆企业与数据泄露有关的罚款通常不超过数十万欧元。
当大家都以为 GDPR 的威慑力将逐渐消失时,英国航空接到了创纪录的 1.83 亿英镑(约合2.3亿美元)的罚单,这是迄今为止最高的数据泄露罚款,超过了优步在 2018 年支付的 1.48 亿美元。根据 ICO 的调查,英国航空此次数据泄露事故源于糟糕的安全管理,对第三方供应商脚本的安全审核疏忽。显然,GDPR 已成为将安全性提高到董事会议事日程的主要驱动力之一。
第三名 Uber:1.48亿美元
2016 年,网约车平台 Uber 泄露了 60 万司机和 5700 万用户帐户信息。该公司没有披露该事件,而是向肇事者支付了 10 万美元,试图瞒天过海。但是,这些行为使公司付出了沉重的代价。该公司在2018年因违反州数据泄露通知法而被罚款 1.48 亿美元,是当时历史上最大的数据泄露罚款。
第四名 万豪国际:1.24亿美元
GDPR 的罚款就像等公共汽车:半天不来一辆,一来就是两辆。在对英国航空公司 (British Airways) 处以创纪录的罚款后几天,ICO 就因数据泄露而再次对万豪国际处以第二笔巨额罚款。
在多达 5 亿客户的付款信息,姓名,地址,电话号码,电子邮件地址和护照号码遭到泄露后,万豪国际酒店集团被罚款 9900 万英镑(约合1.24亿美元)。攻击者在喜达屋网络上潜伏了长达四年的时间,而在万豪于 2015 年将其收购后,攻击持续了大约三年。
根据 ICO 的声明,万豪 “在收购喜达屋时未进行充分的尽职调查,信息安全方面工作欠缺。” 这家酒店连锁店还被土耳其数据保护局(不在GDPR立法之下)处以 150 万里拉(约合265,000美元)的罚款,这凸显了一次违规行为可能导致全球范围内的多次罚款。
第五名 雅虎:8500万美元
2013 年,雅虎因安全漏洞导致大规模数据泄露,影响了大约 30 亿个帐户(几乎是整个互联网人口数)。但是,该公司三年来一直没有透露这些信息。
2018 年 4 月,美国证券交易委员会 (SEC) 因未能披露违规行为对雅虎公司处以 3500 万美元的罚款。去年 9 月,雅虎的新任老板 Altaba 承认,它已经解决了因违规而导致的集体诉讼,金额高达 5000 万美元。
第六名 乐购银行(Tesco Bank):2,100万美元
乐购银行是英国连锁超市Tesco的零售银行部门,2016 年该银行的 9000 个客户账户累计被黑客 “掳走” 近 300 万美元,被英国金融行为管理局 (FCA) 处以 2120 万美元罚款。FCA 指责 Tesco在其借记卡设计,金融犯罪控制以及其金融犯罪行动团队中存在 “缺陷”。
第七名 Target:1850万美元
2017 年,零售业巨头 Target 同意与 47 个州和哥伦比亚特区达成一项 1850 万美元的和解协议,该协议涉及的数据泄露事故发生在 2013 年感恩节后的黑色星期五销售高峰期间,约 4000 万个信用卡和借记卡帐户被盗。后来的调查发现,攻击者还窃取了多达 7000 万个人的姓名,地址,电话号码和电子邮件地址。与违规相关的总成本超过 2 亿美元。
第八名 Anthem:1600万美元
美国健康保险公司 Anthem 在 2015 年遭受数据泄露,影响了 7900 万人。泄露信息包括姓名,生日,社会保险号和医疗身份证。2018 年 10 月,该公司因违反《健康保险可携带性和责任法案》(HIPAA) 而被美国卫生与公共服务部罚款 1600 万美元。此外,该公司在 2017 年为解决与违规有关的集体诉讼支付了 1.15 亿美元的赔偿。
第九名 1&1 Telecom:1,060万美元
发放 GDPR 罚款单的不仅是英国的 ICO。德国网络托管公司 1&1 因未采取 “足够的技术和组织措施” 防止未经授权的人员获得客户信息访问权限而被德国联邦数据保护和信息自由专员 (BfDI) 罚款 955 万欧元(1,060万美元)。1&1Telecom 的身份验证过程有严重漏洞,呼叫者只需提供他们目标个人的姓名和生日,就可以获取其信息。
类似的 GDPR 罚款还包括:对奥地利邮政部门处以 1800 万欧元的罚款,以处理数据主体的政治从属关系;对德国房地产公司 Deutsche Wohnen 处以 1,450 万欧元的罚款,原因是该公司不再使用客户数据后保留了客户数据。
第十名 德克萨斯大学马里兰州安德森癌症中心:430万美元
2018 年 6 月,法官维持了对德克萨斯大学 MD 安德森癌症中心因违反 HIPAA 规定而被罚款 430 万美元的决定。癌症中心在 2012 年至 2013 年间遭受了 3 次数据泄露,导致超过 33,500 个人的健康信息丢失。
值得注意的是,三次数据泄露都是因为人员安全意识薄弱:有一次泄露是因为一台未加密的笔记本电脑从员工住所被盗。其他两次则是因为丢失未加密的 U 盘。
此次数据泄露事故中,平均每个用户账户数据泄露的罚款成本约 128 美元。
【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
俄测试“主权互联网”:与全球断网后仍能有效运作
北京时间24日消息,俄罗斯通信部副部长阿列克塞-索科洛夫(Aleksei Sokolov)周一表示,俄罗斯完成了一系列测试,结果显示,自己的网络服务在与全球互联网隔断之后仍能有效运作。 此次测试经过几天的时间,是在专门指定的网络上进行的。此前,俄罗斯针对美国国家网络安全战略的“侵略性”,在11月份提出了一项“主权互联网”法案。 根据该法案,政府机构和安全部门以及所有通信运营商、消息和电子邮件提供商必须参加测试,但不会影响到常规互联网用户。 索科洛夫表示:“我们的目标是在任何情况下在俄罗斯领土上提供不间断的互联网服务。”“此次评估的结果表明,政府机构和通信运营商已做好了有效应对威胁,同时确保互联网和通信有效运作的准备。” 他补充称,俄通信部将撰写一份关于此次测试验结果的报告,递交普京总统审查。
- 下一篇
2019年前端发展趋势总结
2020年即将到来,前端发展到今天,不仅在形式,内容和功能上越来越丰富,前端开发人员的要求也越来越高,上班划水的日子越来越难! 2020年的前端,不仅在技术广度上提出了新的要求,前端开发人员薪资高低,早已经与技术深度成正比。 2020年,拒绝划水,如何晋升前端大佬?你应该注意这些: 你的重心依然是Javascript,同时兼顾TypeScript 根据Github调查报告,JavaScript的受欢迎程度连续多年稳居第一,成为程序员最受欢迎的开发语言之一。 JavaScript的生态圈也非常活跃,module的数量持续稳定增长,将其他语言远远甩在身后。 从应用范围来看,JavaScript已经跨越前端、服务端、移动端、甚至可以开发物联网应用。 值得注意的是,有数据显示,有超过80%的JavaScript开发者使用ES6,有超过50%的开发者愿意使用TypeScript。 前端开发变得越来越后端化 从技术发展趋势来看,前端开发逐渐从纯前端走向后端,html+css+js+jquery开发者的生存空间不断被压缩。 随着大前端技术的日趋流行,通过前端开发技术构建出一个完整的应用也变得不再复杂...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Eclipse初始化配置,告别卡顿、闪退、编译时间过长
- Red5直播服务器,属于Java语言的直播服务器
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- Docker安装Oracle12C,快速搭建Oracle学习环境
- CentOS6,CentOS7官方镜像安装Oracle11G
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- CentOS关闭SELinux安全模块
- CentOS7编译安装Gcc9.2.0,解决mysql等软件编译问题
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16