GDPR時代來臨後，英國Dixons Carphone公布嚴重數據泄露事件

「用指尖改變世界」

英國家喻戶曉的Dixons Carphone （跨國電信公司）13日宣布正在調查「大量客戶數據被非法訪問」事件。官方對事件的具體描述為黑客「試圖在Currys PC World和Dixons旅行商店的一個處理系統中破壞客戶590萬張卡和120萬張包含非財務數據的記錄，如姓名、地址或電子郵件地址……」這可能是英國有史以來最大的數據泄露事件。

目前，侵入資料庫過程尚不清楚，罪魁禍首面紗依舊神秘。但有報道稱，入侵事件大約在一年前於2017年7月開始。由於沒有技術細節，人們的興趣集中於為何將近一年才發現被侵入；未來調查進程公司的披露方式；以及數據保護監管機構是否會考慮根據1998年英國數據保護法或2010年5月25日生效的歐盟一般數據保護條例（GDPR）處理事件。

ICO（英國獨立信息監管機構）聲明未提供任何信息。相關發言人說：「調查還處於初期，我們會研究事件發生的時間和發現時間，這將決定事件是根據1998年還是2018年的數據保護法處理。」 如果是後者，則會遵照「GDPR」處理，直到英國退歐正式生效。

這種模糊性的產生的原因是數據泄露事件發生或者開始於GDPR時代之前。我們不知道的是Dixons Carphone發現違規行為的確切時間。自5月25日起，它可能（可能）會受到非常嚴格的GDPR違規通知規則的約束。如果根據GDPR規則處理整個事件，ICO有可能將Dixons Carphone的年收入降至全年的4％。去年該集團報告總銷售額達105億英鎊（合140億美元）。GDPR下的罰款可能高達數億英鎊。根據「1998年數據保護法」，最高罰款僅為50萬英鎊（670,000美元）。

除了人們普遍關注的點之外，也有人針對此次Dixons Carphone聲明提出了讚揚，網路安全公司High-Tech Bridge的首席執行官兼創始人Ilia Kolochenko表示：「去年有超過10億份被泄露的記錄，我認為這一事件無關緊要。每天都有許多類似的入侵事件發生，可惜的是，這些事件並沒有引起人們的注意。除非我們有證據表明有人惡意利用了據稱被盜的數據，否則不會對受害者造成重大損害。鑒於這些事實，儘管人們可能會質疑披露的時間線，但Dixons Carphone的披露決定是值得稱讚的，不少公司在這樣的情況下甚至不太敢說真話。即使是在GDPR得到執行，新法律也無法監控不明顯的數據泄露的正確披露。

但事實上，沒有人能保證這些泄露出去的數據未來不會產生負面影響，更大的損失產生時，受害者很可能是無辜的個體。Dixons Carphone目前正在與英國國家網路安全中心(NCSC)合作，與金融監管機構(FCA)、數據保護監管機構(ICO)以及領先的網路安全專家合作。如果ICO發現Dixons Carphone在保護客戶數據方面疏忽大意，它可能會徵收巨額罰款，因時間節點的特殊性，相信不少企業和網路安全行業人士都在觀望此次事件處理進程，後續事態值得關注。

本文由黑客視界綜合網路整理，圖片源自網路；轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！