今年7月8日,英國資訊專員辦公室(ICO)決定,對去年英國航空50萬使用者資訊洩露一事開出1.83億英鎊(約合人民币15.8億元)的罰單。這是歐盟《通用資料保護條例》(GDPR)生效以來的最高金額罰單,約占英國航空2018年收入的1.5%。
根據英國資訊專員辦公室(ICO)官方聲明,英國航空于2018年9月向英國資訊專員辦公室(ICO)通報了一起網絡安全事件:從2018年6月開始,英國航空官網的使用者流量被劫持到一個欺詐網站,攻擊者通過這個虛假站點截獲50萬使用者的個人敏感資訊,包括姓名、住址、賬号密碼、信用卡資訊和訂單詳情等資料。ICO經過調查後認為,這起資料洩露事件的主要原因是該公司脆弱的安全防護措施。
歐盟《通用資料保護條例》(簡稱GDPR)于2018年5月25日生效,被稱為“史上最嚴隐私條例”, GDPR違規最高罰金可達公司全球總收益的4%或2000萬歐元(取最高值)。GDPR适用于向歐盟公民提供服務,向市場提供資料或收集資料的任何人,無論您的組織位于何處。
流量劫持的方式有很多種,常見的主要有DNS劫持、CDN入侵、網關劫持、ARP攻擊、HTTP緩存投毒等等,不同的劫持方式,獲得的流量有所差異。而利用HTTP明文協定實作流量劫持是最常用且低成本的劫持方式。HTTP協定中,一切資料都是明文傳輸,流量在傳輸過程的任意節點都可以被攔截、竊取或篡改,實作劫持跳轉、彈窗廣告、釣魚網站、惡意代碼注入等網絡攻擊。
為規避GDPR違規風險,我國企業無論是否在歐盟開展業務,都應加強資料安全防護,而資料加密是安全防護的重中之重。網站啟用全站HTTPS加密,使用沃通SSL證書在網絡通信中保護資料機密性、完整性,驗證伺服器身份真實性,確定資料在傳輸過程的每個環節都全程加密,且傳輸到正确的伺服器上,保護使用者隐私資料安全,是防止HTTP流量劫持的有效防護手段。
消息來源:ICO官網部落格 沃通原創整理