570万澳人信息遭泄露!海外外包如何坑了你的个人信息?
周日那天,澳航出了个大事,570万客户的个人信息直接流到了暗网上,里面有电话号码、生日,还有地址、邮箱和常旅客号码。这事儿一出来,不少澳洲人都慌了,毕竟谁也不想自己的信息被陌生人攥在手里。
澳航信息怎么流到暗网的?黑客的“绕路”操作藏隐患说起来这黑客的操作也挺“绕”的,今年6月的时候,一个叫“散落的LapsusHunter”的网络犯罪团伙,没硬攻系统,反而用骗术搞定了菲律宾马尼拉一家呼叫中心的工作人员。
就这么着,他们拿到了美国赛富时公司(Salesforce)系统的访问权限,最后把澳航的客户数据给扒走了。
这事曝光后,澳洲联邦网络安全部长托尼・伯克周一就公开说话了,意思很明确,企业不能把业务外包出去就不管网络安全了,真要是这么干,肯定得受重罚。
不光官方表态,莫里斯・布莱克本律师事务所也没闲着,已经向澳洲的信息专员办公室(OAIC)投诉了,说澳航没保护好客户信息,违反了隐私法。
本来想觉得澳航这次泄露的信息不算最致命的,但后来发现,就算没有银行卡号,生日、电话这些信息凑一起,也够诈骗分子盯上你了。
不过话说回来,OAIC到现在也没松口,没说会不会罚澳航,这倒让不少人等着看后续。
讲完了事件本身,大家肯定最关心,澳航这回会被罚多少钱?澳洲对数据泄露的规矩到底有多严?
企业外包能甩锅吗?澳洲法律早把责任定死了其实,澳洲这《隐私法》的罚款力度真不算小。
要是企业搞出严重的或者反复的信息泄露,要么罚5000万澳元,要么按违规期间营业额的30%算,哪个多就按哪个来。
但具体到澳航身上,现在还没个准信,毕竟得先判定泄露的严重程度。
拿2022年的事对比下就清楚了,当时澳洲电信公司Optus和医疗保险公司Medibank都出过大事。
尤其是Medibank,客户的医疗记录、信用卡甚至护照信息都被偷了,现在官司还没打完。
这么看,澳航这次泄露的信息虽然敏感,但对个人的直接风险确实比Medibank那次低一些。
不过这里有个关键点,澳洲法律早就说清楚了,企业把数据传给海外公司,责任还是自己的,不能说“我外包了,出事赖外包方”。
更有意思的是,澳航今年其实已经栽过一次跟头了,之前就因为海外承包商的不当行为,出过一次小规模的数据泄露。
我觉得这说明他们对海外数据的风险评估可能根本没做到位,这次出事不算意外。
除了可能被监管机构罚款,澳航还得防着集体诉讼。
要是受影响的客户一起告,法院说不定会让澳航赔钱。
之前2014年剑桥分析那事,Facebook用户就这么拿到过赔偿,澳航说不定也会面临类似情况。
弄明白处罚和责任,再看看澳洲整个金融领域的情况,你会发现澳航这事不是个例。
澳洲证券与投资委员会(ASIC)管着当地的金融公司,前阵子刚警告过,金融公司把业务外包到海外,很容易出现管理漏洞,客户的敏感信息就可能不安全。
今年ASIC已经告了两家公司,一家是富顿私人财富管理,另一家是FIIG证券,说他们没管好风险,导致几千个客户的信息受影响。
尤其是FIIG,黑客还偷走了客户的护照、银行账户和税务档案号,现在官司也没开庭。
而且有数据显示,澳洲金融领域的数据泄露次数常年排第三,就跟在医疗行业和政府部门后面。
这说明金融公司的信息安全问题一直没解决好,澳航虽然不是金融公司,但这次事件也给整个行业提了个醒。
最后再说说咱们个人该怎么办,其实,个人能做的其实有限,毕竟企业怎么管数据、外包方靠不靠谱,咱们也管不着。
但至少能做到两点,一是警惕诈骗,毕竟信息泄露后,诈骗分子肯定会盯着这些人,收到可疑信息别理,直接报给Scamwatch;
二是别在多个网站用同一个密码,搞个密码管理器存密码,就算一个平台出事,其他平台的安全也能保住。
对企业来说,这事更该反思。
不能光想着赚钱,把业务外包出去就不管了,至少得定期查外包方的安全情况,搞个应急预案,员工也得好好培训。
毕竟消费者把信息交给企业,是信任企业能保护好,要是连这点都做不到,信任就没了。
570万个名字、电话和生日现在还飘在暗网里,说到底是这些消费者的信任被辜负了。
企业的业务能外包到全球,责任总不能也“外包”出去吧?这个问题不光监管机构要盯着,咱们每个把信息交给企业的人,也得一直问下去,毕竟谁也不想下次泄露事件的受害者是自己。
页:
[1]