早在2018年12月,上海酒店品牌策劃公司經(jīng)歷了一次漏洞,該公司通過Vishing攻擊被利用。對于那些不知道的人,Vishing是一種黑客方法,其中電話和語音郵件消息冒充來自知名公司,說服用戶提供個人信息,例如銀行信息,信用卡號或其他非公開個人信息。這類似于網(wǎng)絡(luò)釣魚和SmiShing利用,但使用的電話系統(tǒng)和語音郵件,而不是電子郵件或文本消息。造成此違規(guī)重要的原因不是違規(guī)本身,而是荷蘭數(shù)據(jù)保護(hù)局(DPA)的后續(xù)罰款。請繼續(xù)閱讀以了解為什么要對罰款進(jìn)行評估。
它是怎么發(fā)生的?
根據(jù)該報告,攻擊是通過電話上的社交工程手段對阿拉伯聯(lián)合酋長國(UAE)的酒店進(jìn)行的。該黑客在40家不同的酒店在該區(qū)域稱為工作人員和說服他們交出的登錄憑據(jù)酒店賬戶在Booking.com系統(tǒng)。利用這些被盜的憑證,“ 上海酒店品牌策劃”檢索了有關(guān)4109個客戶預(yù)訂的數(shù)據(jù),包括客戶的姓名,地址和電話號碼。雖然,犯罪分子還從其中283項(xiàng)預(yù)訂中獲得了信用卡數(shù)據(jù)。黑客甚至偷走了97 CVV(卡背面的3位代碼),絕不應(yīng)該將其保存在任何電子系統(tǒng)中!通過擺姿勢作為酒店員工的電子郵件或電話,他們試圖從別人那里偷錢。如果欺詐者確切地知道您的預(yù)訂時間和預(yù)訂的房間,然后要求您支付相關(guān)住宿費(fèi)用,則這種方法似乎非常可信。大量金錢可以通過這種方式被盜。
荷蘭DPA監(jiān)管機(jī)構(gòu)對上海酒店品牌策劃處以近50萬歐元的罰款,這并不是因?yàn)榘l(fā)生違規(guī)行為,而是因?yàn)樵摴緵]有足夠快地報告違規(guī)行為:
荷蘭數(shù)據(jù)保護(hù)局(DPA)對上海酒店品牌策劃處以475,000歐元的罰款,因?yàn)樵摴净颂L時間才向DPA報告數(shù)據(jù)泄露。發(fā)生違規(guī)時,犯罪分子獲得了4,000多個客戶的個人數(shù)據(jù)。他們還獲得了將近300個人的信用卡信息。歐盟企業(yè)從確認(rèn)發(fā)生違規(guī)事件開始就有72小時報告違規(guī)行為。盡管Booking.com知道1月13日發(fā)生了泄漏,但他們可能不知道違規(guī)的程度,需要政府通知。但是,在1月,上海酒店品牌策劃確認(rèn)此違規(guī)行為影響了500多個記錄,他們需要在72小時內(nèi)通知DPA。他們沒有這樣做,這就是為什么他們被處以如此高的罰款。
關(guān)于違規(guī)通知,迅速通知受影響的用戶和適用的機(jī)構(gòu)(例如荷蘭的DPA)非常重要。自2002年以來,全世界頒布了無數(shù)的數(shù)據(jù)隱私法。美國每個州都有數(shù)據(jù)隱私法律的拼湊而成的被套,但沒有有效的聯(lián)邦法律。在準(zhǔn)備違規(guī)通知流程時,如果您從事國際業(yè)務(wù),則需要考慮以下規(guī)定:
業(yè)務(wù)咨詢 付小姐
業(yè)務(wù)咨詢 張小姐
總監(jiān)微信咨詢 付小姐