?

亿级美元已是常态:迄今为止损失超大的数据泄露盘点

作者:媒体转发 时间:2019-08-18 01:57

字号

2019 年数据泄露事件相关巨额罚金,显示出监管机构对未恰当保护消费者数据的公司企业是越来越严厉了。在英国,万豪酒店集团遭罚 1.24 亿美元,英国航空公司被罚创纪录的 2.3 亿美元,而在美国,Equifax 同意支付至少13.8 亿美元的消费者赔偿金解决其 2017 年数据泄露事件。

亿级美元已是常态:迄今为止损失超大的数据泄露盘点

而且,2018 年也不平静。2016 年数据泄露事件的糟糕应对令 Uber 损失近 1.5 亿美元。防护薄弱而监管严厉的医疗数据也令医疗机构 2018 年损失惨重,美国卫生及公众服务部因而收到了越来越多的罚金。

Equifax 和 Facebook:各65 万美元

Equifax 和 Facebook 都可算是幸运。2018 年,英国信息专员办公室 (ICO) 依据 GDPR 之前的《数据保护法案》,对两家公司的数据保护不当行为开出了该法案所支持的最高额罚款——50 万英镑 (65 万美元)。若是在 GDPR 生效后,该罚金就会高得多了。Facebook 是在 10 月因剑桥分析公司数据丑闻而遭受制裁,Equifax 则是在 9 月为其 2017 年的数据泄露买单。

Cottage Health 和 Touchstone 医疗影像:各 300万美元

2019 年迄今的重大 HIPAA 违规处罚有两起,Cottage Health 和 Touchstone 医疗影像各被处罚 300 万美元。

Cottage Health 因 2013 年和 2015 年的两次受保护电子医疗信息 (ePHI) 泄露而被罚,其泄露影响 6.25 万人。两起事件中,存有 ePHI 的服务器均被黑客通过互联网加以访问。

位于田纳西州的 Touchstone 医疗影像,则是因将超 30 万患者的受保护医疗信息 (PHI) 置于暴露在公网的 FTP 服务器上而被罚。Touchstone 曾在 2014 年收到过 FBI 对该服务器暴露情况的通告,但坚称自己没有暴露任何患者的 PHI。

美国卫生及公众服务部 (HHS) 发现,Touchstone “直到 FBI 和民权办公室都向其通报该泄露情况后数月,才开始认真调查该安全事件”。而且,HHS 称,向受影响个人发出数据泄露通报的动作 “很不及时”,Touchstone “未能执行对潜在风险的准确全面分析”,该公司 “与其供应商之间未签署商业伙伴协议 (BAA)”。

费森尤斯医疗北美:350万美元

又是 HIPAA 法案违规。2018 年 2 月,费森尤斯医疗北美 (FMCNA) 遭遇 350 万美元罚单,原因是 2012 年 2 月至 7 月间在不同公司地点发生五起数据泄露。美国健康、教育与福利部所属民权办公室开展的调查发现,FMCNA “未能准确而彻底地分析其不同实体所存全部医疗信息的保密性、完整性和可用性存在的潜在风险与漏洞”。

其失误包括:未防止设施设备未授权访问、未加密医疗数据、未监管存有医疗数据之电子媒介的卸载或移除动作,以及缺乏安全事件处置规程。

美国德州大学 MD 安德森癌症中心:430万美元

2018 年 6 月,一名法官支持判美国德州大学 MD 安德森癌症中心违反 HIPAA 法案,决意判罚该中心支付 430 万美元罚金。该癌症中心在 2012 至 2013 年间遭遇三起数据泄露,造成超 3.35 万人医疗信息泄露。其中一起是因未加密笔记本电脑在某员工家中被盗。其他两起数据泄露则是未加密 U 盘失窃。

Anthem:1,600万美元

美国医疗保险公司 Anthem 在 2015 年遭遇数据泄露,7,900 万人受影响。被泄记录包含姓名、生日、社会安全号和医疗 ID。2018 年 10 月,美国卫生及公众服务部以 HIPAA 法案违规为由,对该公司处以 1,600 万美元罚款。除此之外,2017 年的集体诉讼也耗去该公司 1.15 亿美元方达成和解。

塔吉特 (Target):1,850万美元

2013 年感恩节后的黑色星期五销售旺季期间,零售业巨头塔吉特集团 4,000 万信用卡及借记卡账户信息遭泄露。2017 年,塔吉特与美国 47 个州与哥伦比亚特区达成和解,用 1,850 万美元换来撤诉。后续调查发现,近 7,000 万人的姓名、地址、电话号码和电子邮件地址也被盗了。与该数据泄露事件相关的总开支超过 2 亿美元。

乐购银行 (Tesco Bank):2,100万美元

乐购银行是英国乐购超市连锁旗下的零售银行,因 2016 年 9,000 个客户账户共失窃近 300 万美元,于 2018 年被英国金融市场行为监管局 (FCA) 处以 1,640 万英镑(2,120 万美元)罚款。FCA 的处罚依据是乐购在借记卡设计、金融犯罪控制上存在 “缺陷”,其金融犯罪应对团队也存在能力不足现象。

雅虎:8,500万美元

2013 年,雅虎遭遇了影响其整个数据库的超大型安全事件,约 30 亿账户信息被泄,几乎涵盖当时所有 Web 用户。然而,该公司隐瞒此事达三年之久。

责任编辑:CQITer新闻报料:400-888-8888 ? 本站原创,未经授权不得转载
关键词 >> 数据泄露,网络攻击,网络安全
继续阅读
热新闻
推荐
关于我们联系我们免责声明隐私政策 友情链接