|
|
|
联系客服020-83701501

过去十年数据泄露10大巨额罚款名单

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约

  2019年,许多公司因数据泄露而被罚款,这表明监管机构对未能妥善保护消费者数据的组织越来越不宽容。在英国,英国航空公司受到创纪录的2.3亿美元罚款,其次是万豪集团罚款1.24亿美元。在美国,Equifax同意为其2017年的违规行为支付至少5.75亿美元。

过去十年数据泄露10大巨额罚款名单

  值得注意的是,罚款只占公司数据披露损失的很小一部分。根据卡巴斯基2019年公司数据披露成本分析报告,公司数据披露事故损失的前五项是:信用/保险损失、外部专家招聘、业务损失、公关成本和内部(安全岗位)加薪。

  以额外的(安全岗位)加薪为例,Equifax的CISO在数据泄露事故发生前年薪只有几十万美元。然而,在大规模的数据泄露事故后,这个职位的工资立即飙升至近300万美元。

  因此,当我们观察以下数据披露罚款的10大榜单时,我们应该清楚,这些罚款只是企业数据披露总成本的一小部分。

  第一名 Equifax:高于5.75亿美元

  2017年,由于数据库未能及时安装Apache Struts框架的严重漏洞补丁,Equifax损失了近1.5亿条个人和财务信息。

  2019年7月,Equifax同意为公司的“事故”向联邦贸易委员会、消费者金融保护局(CFPB)和美国50 个州和地区支付5.75亿美元,可能高达7亿美元。并承诺采取合理措施保护其网络。

  第二名 英国航空:2.3亿美元

  过去一年欧盟《通用数据保护条例》 (GDPR)的处罚措施大多较轻,对欧洲大陆企业与数据泄露的罚款通常不超过数十万欧元。

  当所有人都认为GDPR的威慑力将会逐渐消失时,英国收到了创纪录的1.83亿英镑(约合2.3亿美元)的罚单,这是迄今为止因数据泄露的最高罚款,超过了优步2018年支付的1.48亿美元。根据ICO的调查,英国航空数据泄露事故是由于安全管理不善和第三方供应商的脚本安全审核疏忽造成的。显然,GDPR已成为将安全性提高到董事会议日程的主要驱动力之一。

  第三名 Uber:1.48亿美元

  2016年,网约车平台 Uber泄露了60万名司机和5700万用户的账户信息。该公司没有披露这一事件,而是向肇事者支付了10万美元,试图隐瞒事实。然而,这些行为已经导致该公司付出了沉重的代价。该公司在2018年因违反州数据泄露通知法被罚款1.48亿美元,这是当时历史上最大的数据泄露罚款。

  第四名 万豪国际:1.24亿美元

  GDPR的罚款就像等车一样:半天没有一辆车,一来就是两辆。在对英国航空公司 (British Airways) 处以创纪录的罚款几天后,ICO因数据泄露对万豪国际再次处以巨额罚款。

  万豪国际酒店集团被罚款9900万英镑(约1.24亿美元),因为多达5亿名顾客的付款信息、姓名、地址、电话号码、电子邮件地址和护照号码被泄露。攻击者已经潜伏在喜达屋网络长达四年,而在万豪于2015年将其收购后,攻击持续了大约三年。

  根据ICO的声明。万豪“在收购喜达屋时没有进行充分的尽职调查,缺乏信息安全方面的工作。”这家连锁酒店还被土耳其数据保护局(不在GDPR立法之下)罚款150万里拉(约合265,000美元),这突显出一项违规行为可能导致全球范围内的多重罚款。

  第五名 雅虎:8500万美元

  2013年,雅虎由于安全漏洞导致大规模数据泄漏,影响了大约30亿个账户(几乎是整个互联网人口)。然而,该公司三年来没有披露这一信息了。

  2018年4月,美国证券交易委员会(SEC)因未披露违规行为,对雅虎处以3500万美元罚款。去年9月,雅虎的新老板Altaba承认,已经解决了因该违规行为引发的集体诉讼,金额达5000万美元。

  第六名 乐购银行(Tesco Bank):2,100万美元

  乐购银行是英国连锁超市Tesco的零售银行部门。2016年,该银行的9000个客户账户被黑客“窃取”总额近300万美元,并被英国金融行为管理局(FCA)罚款2120万美元。FCA指责Tesco借记卡设计、金融犯罪控制和金融犯罪行动小组存在“缺陷”。

  第七名 Target:1850万美元

  2017年,零售巨头Target同意与47 个州和哥伦比亚特区达成1850万美元的和解协议。该协议涉及的数据泄露发生在2013年感恩节后的黑色星期五销售高峰期,当时约有4000万个信用卡和借记卡账户被盗。后来的调查发现,攻击者还窃取了多达7000万人的姓名、地址、电话号码和电子邮件地址。与违规相关的总成本超过2亿美元。

  第八名 Anthem:1600万美元

  美国Anthem,一家健康保险公司,在2015年遭受了数据泄露,影响了7900万人。泄露的信息包括姓名、生日、社会保险号和医疗身份证。2018年10月,该公司因违反《健康保险可携带性和责任法案》 (HIPAA)被美国卫生与公共服务部罚款1600万美元。此外,该公司在2017年支付了1.15亿美元的赔偿金,以解决与违规相关的集体诉讼。

  第九名 1&1 Telecom:1,060万美元

  GDPR罚款单不仅由英国ICO发出。德国互联网托管公司1&1被德国联邦数据保护和信息自由专员(BfDI)处以955万欧元(1060万美元)的罚款,原因是未能采取“足够的技术和组织措施”来防止未经授权的人员获取客户信息访问权。1&1Telecom的身份验证过程中存在严重缺陷,呼叫者只需要提供他们的目标个人的姓名和生日就可以获得他们的信息。

  类似的GDPR罚款还包括对奥地利邮政部门处以1800万欧元的罚款,以处理数据主体的政治从属关系;德国房地产公司Deutsche Wohnen被罚款1450万欧元,因为该公司在停止使用客户数据后保留了这些数据。

  第十名 马里兰州安德森癌症中心:430万美元

  2018年6月,法官维持了对德克萨斯大学 MD 安德森癌症中心因违反 HIPAA 规定而被罚款430万美元的决定。癌症中心在2012年至2013年间遭受了三次数据泄露,导致超过33,500人的健康信息丢失。

  值得注意的是,这三起数据泄露都是由于人员安全意识薄弱造成的:其中一起是由于一台未加密的笔记本电脑从员工家中被盗。另外两起是由于丢失了未加密的U盘。

  在这次数据泄漏事故中,每个用户账户的数据泄漏平均罚款约为128美元。

数安新闻+更多

证书相关+更多