最近对Capital One的攻击可能是受影响客户数量和业务影响方面最大的一次。2019年3月22日和23日的违规行为暴露了该银行近1.06亿客户和申请人的个人信息。
对于消费者,申请人和小企业,黑客从2005年到2019年初获得了与信用卡申请相关的个人信息。Capital One在7月19日发现了违规行为。公开的个人数据包括姓名,地址,出生日期,信用评分,交易数据,社会安全号码和关联的银行账号。
公开了大约140,000个社会安全号码和80,000个关联的银行帐号。对于加拿大信用卡客户和申请人,大约有100万个社会保险号码。但是,Capital One表示在黑客中没有显示实际的信用卡帐号或登录凭据。
自7月下旬事件首次报道以来,美国参议员已撰写亚马逊首席执行官杰夫贝索斯,要求详细说明亚马逊云服务AWS的安全性。热门代码保管机构Github 已被起诉 ; 与纽约州总检察长办公室已展开调查。如果没有看到额外的影响,那就太令人惊讶了。距离最初的攻击只有两周时间。
加密失误
攻击很糟糕,但如果1.06亿客户的数据受到影响并且没有完全加密所有数据,那么就会出现如此严重的安全事件。
据“ 华尔街日报”报道,“在Capital One事件中,专家表示,银行可能使用了弱类型的加密,或者无法正确存储解密密钥,允许黑客访问数据。
Capital One本周在一份声明中表示,它使用加密“作为标准”,但黑客使用的方法“能够解密数据。”该银行没有回答有关其加密实践的问题。
GDPR将来会为Capital One罚款吗?
由于目前看来所有违规行为的受害者都不在欧盟,因此Capitol One避免因GDPR而产生的任何罚款,GDPR 是2018年5月生效的欧盟法规GPDR。在这种情况下,他们可能非常幸运。但该银行收集的部分数据可追溯到2005年的事实确实令人担忧。
持续这么长时间的数据绝对会被视为欧盟的重大违规行为。正如今天的Databreach Today文章指出的那样,“现在流行的智慧是组织不应该持有不需要的数据。欧洲的“一般数据保护条例”对此进行了编纂,该条例规定,组织通常应删除个人数据,因为个人数据不再需要用于收集目的,例如,如果有人关闭了他们的帐户。
GDPR非常真实,其影响越来越强烈。上个月,英国数据保护机构信息专员办公室对英国航空公司和万豪国际集团征收了巨额罚款。7月8日,英国航空公司因其2018年的数据泄露事件,对超过50万客户造成了惊人的2.28亿美元(1.83亿英镑)的罚款。酒店巨头万豪国际集团因其违规行为被罚款1.24亿美元(9900万英镑),暴露了近3.4亿客人的个人数据。
这一最新的大规模漏洞是审查GDPR的一些重要指南的好时机。它既提高了企业应该如何同意其法律政策的标准,也显着提高了政策本身的标准 – 特别是在隐私政策方面。
GDPR要求企业比以往更加关注细节。该法规迫使企业主和网站管理员深入了解其数据收集实践的细节,并为用户和监管机构详细说明。
例如:
· 您的组织收集哪些数据?
· 您的公司使用该数据的目的是什么?
· 您的组织处理数据的理由是什么?
· 数据是否与任何人共享?
· 数据是否转移到欧盟以外?
· 你有数据保护官吗?
· 贵公司是否有欧洲经济区(EEA)代表?
首都违规行为的后果仍在继续。更多信息将在未来几天和几个月内曝光,这将提供有关这种情况发生的线索。一线希望(如果有的话)是那些线索只会帮助我们改善我们的安全措施。在GlobalSign,我们始终致力于超越标准加密实践。这使我们能够为全球数以千计的客户提供更大的信心,使我们的基于PKI的证书可以帮助他们保护数据。
关于Capital One hack有很多经验教训,但理解它为什么发生只是一个开始。首先探索GlobalSign的PKI和AEG自动化页面。
图片来自网络
