亿级美元已是常态:迄今为止损失最大的数据泄露盘点

2019 年数据泄露事件相关巨额罚金,显示出监管机构对未恰当保护消费者数据的公司企业是越来越严厉了。在英国,万豪酒店集团遭罚 1.24 亿美元,英国航空公司被罚创纪录的 2.3 亿美元,而在美国,Equifax 同意支付至少13.8 亿美元的消费者赔偿金解决其 2017 年数据泄露事件。

而且,2018 年也不平静。2016 年数据泄露事件的糟糕应对令 Uber 损失近 1.5 亿美元。防护薄弱而监管严厉的医疗数据也令医疗机构 2018 年损失惨重,美国卫生及公众服务部因而收到了越来越多的罚金。

Equifax 和 Facebook:各65 万美元

Equifax 和 Facebook 都可算是幸运。2018 年,英国信息专员办公室 (ICO) 依据 GDPR 之前的《数据保护法案》,对两家公司的数据保护不当行为开出了该法案所支持的最高额罚款——50 万英镑 (65 万美元)。若是在 GDPR 生效后,该罚金就会高得多了。Facebook 是在 10 月因剑桥分析公司数据丑闻而遭受制裁,Equifax 则是在 9 月为其 2017 年的数据泄露买单。

Cottage Health 和 Touchstone 医疗影像:各 300万美元

2019 年迄今的重大 HIPAA 违规处罚有两起,Cottage Health 和 Touchstone 医疗影像各被处罚 300 万美元。

Cottage Health 因 2013 年和 2015 年的两次受保护电子医疗信息 (ePHI) 泄露而被罚,其泄露影响 6.25 万人。两起事件中,存有 ePHI 的服务器均被黑客通过互联网加以访问。

位于田纳西州的 Touchstone 医疗影像,则是因将超 30 万患者的受保护医疗信息 (PHI) 置于暴露在公网的 FTP 服务器上而被罚。Touchstone 曾在 2014 年收到过 FBI 对该服务器暴露情况的通告,但坚称自己没有暴露任何患者的 PHI。

美国卫生及公众服务部 (HHS) 发现,Touchstone “直到 FBI 和民权办公室都向其通报该泄露情况后数月,才开始认真调查该安全事件”。而且,HHS 称,向受影响个人发出数据泄露通报的动作 “很不及时”,Touchstone “未能执行对潜在风险的准确全面分析”,该公司 “与其供应商之间未签署商业伙伴协议 (BAA)”。

费森尤斯医疗北美:350万美元

又是 HIPAA 法案违规。2018 年 2 月,费森尤斯医疗北美 (FMCNA) 遭遇 350 万美元罚单,原因是 2012 年 2 月至 7 月间在不同公司地点发生五起数据泄露。美国健康、教育与福利部所属民权办公室开展的调查发现,FMCNA “未能准确而彻底地分析其不同实体所存全部医疗信息的保密性、完整性和可用性存在的潜在风险与漏洞”。

其失误包括:未防止设施设备未授权访问、未加密医疗数据、未监管存有医疗数据之电子媒介的卸载或移除动作,以及缺乏安全事件处置规程。

美国德州大学 MD 安德森癌症中心:430万美元

2018 年 6 月,一名法官支持判美国德州大学 MD 安德森癌症中心违反 HIPAA 法案,决意判罚该中心支付 430 万美元罚金。该癌症中心在 2012 至 2013 年间遭遇三起数据泄露,造成超 3.35 万人医疗信息泄露。其中一起是因未加密笔记本电脑在某员工家中被盗。其他两起数据泄露则是未加密 U 盘失窃。

Anthem:1,600万美元

美国医疗保险公司 Anthem 在 2015 年遭遇数据泄露,7,900 万人受影响。被泄记录包含姓名、生日、社会安全号和医疗 ID。2018 年 10 月,美国卫生及公众服务部以 HIPAA 法案违规为由,对该公司处以 1,600 万美元罚款。除此之外,2017 年的集体诉讼也耗去该公司 1.15 亿美元方达成和解。

塔吉特 (Target):1,850万美元

2013 年感恩节后的黑色星期五销售旺季期间,零售业巨头塔吉特集团 4,000 万信用卡及借记卡账户信息遭泄露。2017 年,塔吉特与美国 47 个州与哥伦比亚特区达成和解,用 1,850 万美元换来撤诉。后续调查发现,近 7,000 万人的姓名、地址、电话号码和电子邮件地址也被盗了。与该数据泄露事件相关的总开支超过 2 亿美元。

乐购银行 (Tesco Bank):2,100万美元

乐购银行是英国乐购超市连锁旗下的零售银行,因 2016 年 9,000 个客户账户共失窃近 300 万美元,于 2018 年被英国金融市场行为监管局 (FCA) 处以 1,640 万英镑(2,120 万美元)罚款。FCA 的处罚依据是乐购在借记卡设计、金融犯罪控制上存在 “缺陷”,其金融犯罪应对团队也存在能力不足现象。

雅虎:8,500万美元

2013 年,雅虎遭遇了影响其整个数据库的超大型安全事件,约 30 亿账户信息被泄,几乎涵盖当时所有 Web 用户。然而,该公司隐瞒此事达三年之久。

2018 年 4 月,美国证券交易委员会 (SEC) 以未披露数据泄露事件为由,罚取该公司 3,500 万美元。9 月,雅虎新老板 Altaba 承认,以 5,000 万美元达成和解协议,解决该数据泄露引发的集体诉讼。

30 亿账户泄露耗费 8,500 万美元解决,每条记录 0.028 美元。

万豪国际:1.24亿美元

GDPR 罚款跟公共汽车似的:等好长时间不来一辆,一来就来两张。英国航空公司遭遇史上最重罚金之后几天,ICO 又对另一起数据泄露开出巨额罚单。

因多达 5 亿客户的支付信息、姓名、地址、电话号码、电子邮件地址和护照号等信息被泄,万豪国际被罚 9,900 万英镑 (1.24 亿美元)。该起数据泄露的根源在万豪的喜达屋子公司:攻击者在喜达屋网络中驻留长达 4 年之久,其中 3 年是在万豪于 2015 年收购了喜达屋之后。

ICO 的声明显示,万豪 “在收购喜达屋时未能履行充分的尽职审查义务,系统防护工作也没做到位。” 万豪首席运营官艾恩·索伦森 (Arne Sorenson) 对该处罚表示“失望”,并称该公司计划提起抗诉。

此外,土耳其数据保护机构也对该连锁酒店巨头处以了 150 万里拉 (26.5 万美元) 的罚款——非 GDPR 处罚,显示出同一起数据泄露可遭致全球多方处罚。

Uber:1.48亿美元

2016 年,打车应用 Uber 遭黑客攻击,60 万司机和 5,700 万用户账户信息失窃。Uber 没有报告该事件,而是支付作恶者 10 万美元封口费掩盖事实。但世上没有不透风的墙,数据泄露事件曝光后,Uber 被罚得更惨。2018 年,Uber 因违反州数据泄露通告法律而被罚 1.48 亿美元——当时史上最高额的数据泄露罚款。

英国航空公司:2.3亿美元

尽管潜在罚金数额很是吓人,欧盟《通用数据保护条例》 (GDPR) 生效后的一年之内其实并未采取太多惩罚性措施。欧洲大陆的数据保护公司因数据泄露而支付的罚金也就在几万到几十万欧元之间,通常都与之前的监管规定所处罚金数额相当。眼看合规工作花费甚高而违规处罚似乎很轻,对 GDPR 可能实际上会雷声大雨点小的担忧一直在酝酿。

但英国航空公司被罚破纪录的 1.83 亿英镑 (2.3 亿美元) 后,这种担忧一扫而空。该罚金数额已超越 Uber 在 2018 年支付的 1.48 亿美元,是截止当时数额最高的数据泄露处罚。对英国航空公司开出罚单的是英国数据保护机构信息专员办公室 (ICO),原因是 Magecart 团伙在长达两周的时间里用银行卡信息刮取脚本收获了近 50 万客户的个人信息及支付数据。

ICO 表示,该公司糟糕的安全设置导致了数据泄露。英国航空公司处罚案表明,GDPR 确实有其效力,而数据保护机构也不吝于行使其权力。鉴于 GDPR 是让董事会更加重视安全的主要推进力之一,CSO 和隐私/合规负责人也将拥有更大动力去进一步强化自身安全项目。

Equifax:13.8亿美元(至少)

2017 年,因某个数据库中存在 Apache Struts 框架未修复漏洞,Equifax 泄出近 1.5 亿人的个人信息及财务数据。该公司不仅在补丁发布几个月后尚未修复此关键漏洞,且在发现数据泄露后数周都未公布此事。

2019 年 7 月 22 日,Equifax 宣布接受金额创纪录的和解协议,了结了这桩导致 1.5 亿人个人信息及财务记录暴露的大规模数据泄露事件。这家四面楚歌的信用评级机构需支付至少 13.8 亿美元的消费者索赔金。受泄露事件影响的消费者可得到现金补偿、信用监视和身份恢复帮助,所需资金由该公司投注的 3.805 亿非复归基金支出。

协议还要求 Equifax 另外支付 1.25 亿美元的现金赔偿,且如果报名信用监视的人数超过 700 万,该公司需支付的数额还将大幅增加。此外,Equifax 还需支付 1.75 亿美元的罚款以平息州检察官的调查,美国消费者金融保护局和联邦贸易委员会 (FTC) 的调查也需 1 亿美元平复。

最后,未来五年内,Equifax 还必须拿出 10 亿美元改善其数据安全。而且,这还是在 Equifax 自事件发生后已在安全及技术方面投入 12.5 亿美元的基础上。

上一篇:麻省理工开发出自动加密算法:菲亚特加密

下一篇:波音787机载计算机网络易受远程攻击影响