“个人信息””明码标价? 澳大利亚网络安全系统何时成了“豆腐渣工程”!

 

阅读导航

• 前言

• 苹果“打脸”自己

• 并不安全的世界

• 毁灭性的结果

• 一切皆因“利”而起

• 网络安全人才匮乏

 

前言

 

在信息化时代，网络安全、个人隐私受关注程度明显上升。

 

数据显示，过去一年，澳大利亚数据泄露事件高达812起，医疗行业成为“重灾区”。70%的事件为黑客攻击所致，30%的案件则是人为错误所致。

 

暗网上，一份医疗保险身份证售价1刀起，医疗档案价格每份5刀起。

 

什么原因导致我们的网络保护系统成为了“豆腐渣工程”？又是什么原因导致电信诈骗分子能够对你的个人信息“知根知底”？

 

 

1

苹果“打脸”自己

 

近日，苹果被告了。原因正是涉嫌使用客户隐私数据牟利。

 

即便苹果曾一度表示自己在保护客户数据隐私方面要高出脸书、谷歌等一众科技巨头，但是这次却是被实打实的“打脸”了。

 

据彭博社消息，当地时间5月24日，美国加利福尼亚州北区联邦法院公布了一份起诉文件。来自罗德岛州、密歇根州的数名诉讼方，代表“数以万计”iTunes用户，向苹果提起诉讼，要求赔偿超500万美元的金额。

 

iTunes是苹果产品自带的一款数字媒体播放应用程序。除此以外，用户还可通过付费的方式成为会员，使用iTunes中相关服务。

 

诉讼方认为，苹果向第三方出售、出租、转让iTunes用户个人数据，“狠赚了一笔”。这些个人数据包括：用户全名、家庭住址、学历等。文件显示，苹果甚至对上述个人数据进行了“明码标价”。

 

起诉文件透露，任何个人或者机构都可以向苹果租用一个用户清单，筛选出符合“未婚”、“本科毕业”、“70岁以上”、“女性”、“年收入超过8万美元”、“爱听乡村音乐”等标签的用户。

 

文件指出，平均算下来，每1000个用户资料售价136美元。也就说每个iTunes用户的个人信息，大约售价0.3澳元。

 

“苹果靠个人信息获利，既没有通知用户，也没有取得用户的同意。”由于苹果此举涉嫌违反诉讼人各自所在州的相关隐私保护法律，现控方请求法院裁定苹果，对每位来自罗德岛州受数据窃用危害的用户赔偿250美元，密歇根州每人赔偿5000美元。总计赔偿金额超过500万美元。

 

根据苹果官网的用户隐私条例，苹果强调仅会收集非个人数据，并可出于“任何目的”收集、使用、转让和披露这些数据。但是，苹果也会满足一个前提，就是先得取得用户的同意。

 

颇具讽刺意味的是，苹果曾多次表示很重视对用户隐私的保护，为佐证这点，不惜暗讽谷歌、脸书等科技巨头泄露客户隐私的行为。

 

2015年6月，苹果CEO库克在出席活动室公开表示，对手公司的商业模式并没有很好地保护用户隐私，并暗示个人数据正在被谷歌等硅谷大公司“出卖”。2018年初，脸书爆发“数据泄露门”后，库克又表示，这件事情“很可怕”，各国应该从严立法。

 

今年1月，拉斯维加斯召开消费电子展CES。在不参展的情况下，苹果在会展旁租下一个大型广告牌，广告牌上写有“发生在你iPhone上的事，只会留在iPhone上（what happens on your iPhone stays on your iPhone）”.

 

而这句话在本起诉讼案中，也成为了诉讼对象攻击苹果的筹码。诉讼文件第51页写道，“当你在iTunes上买音乐时，任何相关的数据都不会仅仅留在iPhone上。”

 

此举旨在“反讽”苹果不尊重保护用户个人数据安全。

 

 

2

并不安全的世界

 

官方数据显示，2018年澳大利亚企业共报告了800多起数据泄露事件。其中，以医疗保健和金融服务公司表现最为严重。

 

据《澳大利亚金融评论报》的报道，一名记者成功以30澳元的价格从一名“暗网”交易人处买到了自己的医疗卡号。

 

“暗网”指不会在常规搜索引擎中找到、只能通过特殊软件打开的网页，能让用户和网站运营者保持匿名或无法追踪。这种网络常常与网络犯罪、枪支毒品等非法交易联系在一起。

 

澳大利亚警方发言人证实，警方正对事情展开评估，眼下不便公开更多信息。从媒体披露的内容看，这个“暗网”自去年10月起已售出至少75套个人医疗卡信息，前前后后加起来可能更多。

 

虽然售卖的这些医疗卡信息不足以泄露受害人全部个人资料，但黑客可能会把这些数据用于窃取身份等犯罪目的。如，一些遭窃取的身份会被贩毒团伙用来购物、租赁或购买房产和汽车等。

 

澳大利亚信息专员办公室（OAIC）发布数据显示，仅去年第四季度，澳大利亚公司报告的数据泄露数量即增加了7%，达到262起。

 

虽然，在这262起数据被窃事件中，绝大多数规模很小（60％受影响的人数不足100人），但是也不乏大规模的数据被窃时间，影响人数介于100万-1000万人。

 

 

尽管澳大利亚信息专员办公室并没有提供数据泄露公司的具体细节，但是去年12月份，国际连锁酒店巨头万豪（Marriott）曾透露，旗下喜达屋的一个顾客预订数据库遭到入侵，大约有5亿酒店住宿客户的数据遭到泄露。

 

这些可能被泄露的信息包括顾客的姓名、出生日期、电话号码、护照号码、通信地址、电子邮箱、喜达屋VIP客户信息和其他一些个人信息。甚至对于部分客户，被泄露的信息还包括支付卡号码和有效日期。

 

同样，在第四季度，澳大利亚本土造船厂Austal也遭到不明身份黑客人士的攻击，导致部门员工联系方式遭到泄露。

 

在总计812起数据被窃事故中，网络犯罪占64％，人为错误则占33％。由此可见，我们生活在一个并不安全的世界中。

 

 

3

毁灭性的结果

 

今年以来，最著名的数据泄露事件当属澳大利亚规模最大的上市地产估值公司，Landmark White Limited（ASX: LMW）。

 

今年年初，LMW公司系统遭到黑客攻击，导致数十万名客户的个人信息被窃。这些信息包括名下物业估值、电话号码、出生日期等。在暗网上，数千条LMW公司客户信息公开出售。

 

据了解，LandMark White是四大银行等主要贷款机构用于评估抵押贷款申请等服务的最大估值公司之一。事发后，澳大利亚国民银行、联邦银行以及澳新银行先后宣布暂停使用LandMark White公司服务。

 

为此，LMW首席执行官克里斯·库南（Chris Coonan）引咎辞职。同时，LMW执行董事表示，如果四大银行不恢复公司业务，公司即将面临破产。

 

LandMark White于5月6日发布的公告显示，截至今年6月的一年内，受数据泄露导致IT安全性成本增加，以及银行业务丢失影响，公司收入下滑高达700万澳元。同时，公司盈利也远不及此前发布的指引，税后净损失预计达到230万澳元。

 

在进行额外融资，承诺对IT系统进行升级后，澳大利亚国民银行和西太银行表示，在测试公司系统安全性后恢复对该公司的业务。

 

在获得四大银行“首肯”后，这家公司才得以幸免“破产退市”。

 

澳大利亚信心安全专家迈克尔·沃诺克（Michael Warnock）表示，中等规模的企业是网络犯罪分子的“快乐狩猎场”。原因很简单，相对财力丰厚的大型企业相比，规模较小的企业管理层往往不愿意为网络安全分配足够的资源。

 

沃诺克说道：“然而，严酷的现实却是，未来一年，网络攻击的频率和复杂性将继续增长，而澳大利亚企业仍然是网络攻击的目标。”

 

 

4

一切皆因“利”而起

 

就行业而言，澳大利亚卫生医疗行业再次成为数据泄露事件受影响最严重的行业。2018年第四季度共报告了54起数据泄露事件；其次是金融服务部门，同期数据泄露事件为40起，法律，会计和管理服务行业则报告了23起。

 

对于网络犯罪分子来说，医疗保健数据可能比财务数据更有价值。据悉，被盗的医疗保险身份证在暗网上至少售价1刀，医疗档案价格从每份5刀起。

 

医疗记录的价值远远超过信用卡数据等，因为它们汇集了大量个人信息。这包括个人的财务信息和主要背景数据。更令人防不胜防的是，甚至某些医疗保健内部人员也在窃取患者数据，其目的大概只有利益二字可以解释了。

 

另外，澳大利亚采矿和制造业也首次出现在报告中，第四季度共发生了12次数据泄露事件。

 

RSA亚太地区网络安全顾问伦纳德·克莱曼（Leonard Kleinman）表示，矿业部门的攻击很可能是因为恶意行为者试图窃取公司机密以在合同谈判过程中获得优势。

 

他说：“过去一年，澳大利亚采矿业遭受网络攻击，目的是收集敏感信息，协助国家或国有企业进行合同谈判。”

 

5

网络安全人才匮乏

 

澳大利亚官方最新的一份报告警告称，到2026年，澳大利亚在网络安全领域存在18,000余人的技术人才缺口。

 

由于恶意威胁的激增和互联网连接设备的激增，网络安全行业的规模将增加三倍，达到60亿澳元。

 

澳大利亚科学部长凯伦·安德鲁斯（Karen Andrews）说道：“这是一个快速发展的行业，如果我们无法填补这一技能缺口，我们就会落后。

 

 

澳大利亚网络安全加速器CyRise首席执行官斯科特·普莱克斯（Scott Handsaker）说道：“无论采用多少举措来改善学校的STEM教育，并且通过TAFE为该行业的就业提供新的途径，短缺仍将在未来几年出现。”

 

他说：“事实上，网络安全人才短缺的问题并不仅仅是澳大利亚有，全球其他国家也有。因此，这类人才在全球任何地方都可以找到工作。因此，我们必须尽我们所能，吸引这些人才并留住这些人才。”

 

这一说法也是直接针对澳大利亚联邦政府“削减移民配额”的做法。

 

网络安全公司WatchGuard Technologies的马克·辛克莱（Mark Sinclair）指出，没有绝对的安全，但是最佳的网络安全做法则是采用均衡的网络安全策略，将资金和资源分散到威胁预防、检测和响应、用户培训、业务连续性和灾难恢复之中。

 

END

 

纵观全球，无论是澳大利亚，还是其他国家，对网络攻击造成的经济损失的关注程度与日俱增。

 

为此，各国政府也出台了一系列的法规和政策，例如，澳大利亚《1988年隐私法》中相关数据泄露通知制度规定，以及欧盟《一般数据保护条例》（GDPR）。

 

但是，对于用户数量大，影响严重的行业，相关法规仍需加强。例如，在澳大利亚未履行通知义务的最高罚款为180万澳元，比GDPR的规定要低得多。

 

另外，个人也好，企业也罢都应合理分配资源，加强保护意识，毕竟自己才是网络攻击的最直接受害者。