趕上GDPR，英國史上最大規模的數據泄露事件主角將何去何從？

GIF

聚焦源代碼安全，網羅國內外最新資訊！

翻譯：360代碼衛士團隊

英國家喻戶曉的手機零售商Dixons Carphone宣布稱正在調查「對公司所持有的某些數據的越權訪問。」該公司指出該越權訪問「試圖攻陷Currys PC World和Dixons Travel商店中其中一個處理系統中的590萬張卡」，「以及包含非金融個人數據的120萬個記錄，如姓名、地址或郵件地址」。

這可能是英國歷史上發生的規模最大的數據泄露事件。

會適用《通用數據保護條例》嗎？

目前，尚未公布數據泄露事件是如何發生的以及幕後黑手的身份。然而，有多份報告指出，這起攻擊幾乎在2017年7月就已開始。由於目前尚未發布技術詳情，因此人們主要關心的是為何過了這麼長時間才發現攻擊；該公司是如何處理數據泄露和通知的；以及數據保護機構是否會按照1998年發布的《英國數據保護法案》還是在今年5月25日公布的《通用數據保護條例》處理此事。

英國信息專員辦公室 (ICO) 在聲明中也並未提供有效信息。一名發言人指出，「目前尚處於調查初期階段。我們將查看事件是何時發生的以及何時被發現的，這些都會決定是根據1998年的法案還是2018年的法案。」「2018年法案」在英國退歐之前都被稱作「GDPR」。

之所以出現這種歧義是因為攻擊事件發生在 GDPR頒布前。我們所不知道的是，Dixons Carphone 是何時發現數據遭泄露的。從5月25日開始，它很可能要受到 GDPR 嚴格的數據泄露通知條例的約束。

如果整個事件被按 GDPR 規定處理，那麼 ICO 可能會對 Dixons Carphone 開出全球年收入總額的4%的罰單。去年，該公司的年銷售總額為105億英鎊（摺合140億美元）。根據 GDPR 開出的罰單可能達到數億英鎊，而如果按照1998年的法案，則最高罰款僅為50萬英鎊（摺合67萬美元）。

為何這麼久之後才發現攻擊跡象？

從技術層面來講，人們主要關注的是 Dixons Carphone 公司為何過了這麼久才發現數據泄露事件。ThinkMarble 公司的數據保護律師兼法律服務負責人 Robert Wassall 評論稱，「數據泄露是通過一次例行安全審計才發現的事實可以從兩方面解讀。確實，發現這起泄露事件說明漏洞審計和掃描機制起作用。另一方面，數據泄露始於2017年，為何不能更早地發現？鑒於幾乎花了一年的時間才發現問題，那麼安全掃描的頻率是多高？」

而 LogRhythm 公司的副總裁兼 MD EMEA Ross Brewer 則顯得隨和得多。他指出，「這起數據泄露時間的規模和時間跨度都非常大。最初的數據訪問發生在去年7月份，但事件在上周才被發現，這說明該公司缺乏重要的威脅檢測能力。」

數據泄露和時間通知是如何開展的？

事件通知主要圍繞 Dixons Carphone 的聲明而來。一些評論者讚賞該公司通知受害者的速度和信息完整性。網路安全公司 High-Tech Bridge 的首席執行官兼創始人 Ilia Kolochenko 指出，「去年發生了數不清的攻陷記錄事件，我認為這起事件的重要性沒那麼高。每天都在發生類似但未被發現的數據泄露事件。除非我們有證據認為所聲稱的被盜數據已遭惡意利用，那麼就未對受害者造成重大損害。鑒於這些事實，Dixons Carphone 公司的披露決策實際上非常值得讚賞，儘管有人可能會質疑披露的時間軸問題。很多其它公司沒有這麼大的勇氣公布真相，即便公布了GDPR，這項新法案也無法監控數據泄露的正確披露情況。」

然而，也有人擔心該公司發布的聲明試圖將對受害者造成的未來損害最小化。Dixons Carphone 公司的首席執行官 Alex Baldock 表示，「我們目前並未發現因這些事件造成的欺詐證據。」這份聲明還表示受害者無需擔心卡詳情，因為迄今為止多數遭泄露的卡是晶元和 PIN 卡，並不涉及 CVV 碼。聲明並未提及針對 Dixons Carphone 泄露事件可能的或潛在受害者的釣魚攻擊和其它社工欺詐。

Trusted Knight 公司的威脅情報官 Trevor Resche 就直言不諱地表示，「Dixons 數據泄露事件在未來一段時間內會產生深遠後果。雖然 Dixons 公司指出並未發現欺詐證據，既然數據已處於犯罪圈子，不久之後就會在犯罪分子之間售賣，而緊隨其後的就是釣魚攻擊和暴力攻擊。」

截止目前，我們對事件了解的還不夠多。Dixons Carphone 目前正在和執法部門 (NCSC)、金融監管機構 (FCA)、數據保護監管機構 （ICO）以及「頂級網路安全專家」展開合作。雖然受害者將需要密切監控自己的銀行賬戶並留心收到的所有 Dixons Carphone 郵件；但所有企業和網路安全行業將尤其監控數據保護監管機構的反應。如果 ICO 認為 Dixons Carphone 未能保護消費者數據，那麼該公司可能會被重罰。

https://www.securityweek.com/59-million-card-details-accessed-dixons-carphone-hack

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！