全球保卫数据隐私之战再升级 数据安全监管亟待完善

数据时代的隐私之战

最近,数据泄露事件再次引起公众关注。瑞典遭遇史上最严重的数据泄露事件,印度电信运营商Jio一亿多用户信息“裸奔”。在英国新数据法案下,掌握大量数据和用户信息的谷歌、脸谱等公司已接到重罚警告。全球保卫数据隐私之战进一步升级。

数据隐私

 数据泄露无处不在

近期发生多起数据泄露事件,涉及多个国家的各类数据,表明全球数据泄露风险并未受到充分重视。

上个月,瑞典遭遇史上最大规模数据泄露事件。瑞典首相勒文宣布免去内政大臣安德斯·于耶曼和基础设施大臣安娜·约翰松的职务,理由是二人对一起交通数据泄露事件处理不当。瑞典媒体援引勒文的话说,这简直是场灾难。

7月24日,瑞典政府承认,在互联网工程服务外包中发生了大规模资料外泄。据瑞典电视台报道,为简化流程节省成本,瑞典交通管理局2015年将IT系统管理和维护工程进行外包,但外包过程中违规操作,将未经加密处理的交通资料库上传至外包公司位于他国的数据库。

其中一家外包公司为IBM瑞典分公司,该公司服务器实际放置在捷克,意味着受雇于该公司的捷克电脑工程师可以轻而易举地接触到敏感数据。另一外包公司是一家塞尔维亚的通讯公司,负责维护瑞典交通管理局网络防火墙和通讯系统,也拥有查看相关数据的权限。

这些可能已遭泄露的信息包括瑞典全国的机动车驾驶人信息,桥梁、地铁、道路和港口等敏感信息,甚至还有瑞典警方和军方的车辆信息和防御计划等。

另有消息披露,瑞典交通管理局在上传数据过程中也存在重大安全风险,比如,工作人员先将所有数据上传到未受保护的云端服务器,然后再通过电子邮件将链接发给外包公司。

瑞典交通管理局前局长玛丽亚·阿格伦已于今年1月被解职,并被处以7万瑞典克朗(约合5.8万元人民币)的罚款,但政府并未在第一时间公开原因。瑞典交通管理局最近才承认,阿格伦在外包工程过程中,绕过了多项保护敏感信息的法律法规和内部章程。

黑客入侵也使用户信息出现泄露。美国《财富》网站报道,美国特朗普国际酒店管理公司7月11日表示,由于一家服务提供商的系统遭到黑客入侵,旗下14 处酒店的客户信用卡支付细节遭到外泄。

这家酒店网站上的一份通知显示,黑客攻击了酒店服务提供商——Sabre的中央预订处理系统,从而造成部分连锁酒店的客户预订信息泄露,这些被泄露的信息包括支付卡号以及卡安全密码。此次攻击,是今年 5月份所披露Sabre预订系统遭到网络攻击的一部分。全球范围内,Sabre公司的预订系统被近3.2万家酒店使用。Sabre公司在6月5日告知特朗普酒店,拉斯维加斯、芝加哥等多个城市的特朗普连锁酒店的客户信息遭到外泄。Sabre公司称,泄密仅仅发生在酒店所使用的预订服务系统Sabre Hospitality Solutions,酒店电脑系统本身并未受到影响。

值得一提的是,去年特朗普酒店就曾出现7万多张信用卡号码和300多个社安号码外泄事件,因未立即通知客人,特朗普酒店被纽约州罚款5万美元。作为达成和解协议的一部分,当时酒店表示同意支付罚金,也同意更新安全技术。显然,系统再度受到攻击意味着酒店未能很好完成其保护系统安全的承诺。

另据英国的科技新闻网站The Register报道称,今年7月,data.gov.uk网站使用者的姓名、邮箱和密码等信息被发现能在第三方网站上接入获取。2015年6月20日前注册这家网站的用户都受到了影响。英国政府数字服务机构表示,立刻将这些数据从公共区域移除并向相关机构进行了汇报。英国政府则建议,被泄露信息的使用者需要重置密码。

印度出现了类似的情况,但规模更大,危害更严重。7月初,有媒体报道说,印度电信运营商Jio超过1亿用户的信息遭到泄露,用户发现,在magicapk.com网站上输入一个Jio网络下的手机号码进行查询,会出现包括这个号码使用者的姓名、电子邮箱、号码激活日期和入网地点、个人身份证号码等多项个人信息。这被视为印度电信行业史上最大规模数据外泄事件。随后,这个涉嫌泄露信息的网站已无法打开。

网络安全分析师斯里尼瓦斯·科达伊说,这些用户信息早在今年6月就出现在一个网络论坛上,在“暗网”(互联网上数量庞大的“隐身”网站)中,还出现了用户信息的截屏图片。Jio隶属印度信实工业公司,是印度移动通信市场上的后起之秀。信实董事长穆凯什·安巴尼被《福布斯》杂志评为印度最富有的人。