網絡安全事件,尤其是大規模資料洩露和違規事件,不但給企業帶來巨額财務和品牌損失,導緻客戶信任流失,同時也意味着來自監管部門的巨額罰單以及包括安全整改、停業整頓和吊銷營業執照在内的嚴厲處罰。
2022年,随着各國網絡安全法規的不斷健全,對資料洩露事件的處罰愈加嚴厲,以下我們整理了2022年的十大網絡安全處罰:
一、滴滴違反網絡安全法規被罰12億美元(80億元)
7月21日,國家網際網路資訊辦公室對滴滴處以人民币80.26億元罰款,對滴滴董事長兼CEO程維、總裁柳青各處人民币100萬元罰款。
據國家網信辦通報,滴滴公司違反《網絡安全法》(2017年6月實施)、《資料安全法》(2021年9月實施)、《個人資訊保護法》(2021年11月實施)的違法違規行為事實清楚、證據确鑿、情節嚴重、性質惡劣。經查明,滴滴公司共存在16項違法事實。
滴滴過度采集和濫用的資訊包括但不限于:
- 違法收集使用者手機相冊中的截圖資訊1196.39萬條;
- 過度收集使用者剪切闆資訊、應用清單資訊83.23億條;
- 過度收集乘客人臉識别資訊1.07億條、年齡段資訊5350.92萬條、職業資訊1633.56萬條、親情關系資訊138.29萬條、“家”和“公司”打車位址資訊1.53億條;
- 過度收集乘客評價代駕服務時、App背景運作時、手機連接配接桔視記錄儀裝置時的精準位置(經緯度)資訊1.67億條;
- 過度收集司機學曆資訊14.29萬條,以明文形式存儲司機身份證号資訊5780.26萬條;
- 在未明确告知乘客情況下分析乘客出行意圖資訊539.76億條、常駐城市資訊15.38億條、異地商務/異地旅遊資訊3.04億條。
根據國家網信辦通報,滴滴公司還存在嚴重影響國家安全的資料處理活動,拒不履行監管要求,給國家關鍵資訊基礎設施安全帶來嚴重安全風險隐患。
二、T-Mobile為資料洩露事件支付3.5億美元
今年8月初,美國移動通信巨頭T-Mobile同意支付2021年大規模資料洩露事件後的索賠、法律費用和管理費用,共計支付3.5億美元。該資料洩露事件暴露了估計7600萬人的個人資訊,包括客戶名稱,社會保險号,電話号碼,位址和出生日期。
除向受影響客戶的現金支付外,T-Mobile還同意投資1.5億美元來加強其資料安全。
三、OPM被罰6300萬美元
美國個人管理辦公室(OPM)是一家為聯邦政府雇員提供人力資源的聯邦機構,2015年,OPM披露遭遇一系列國家黑客組織攻擊,導緻了近2200萬人的個人資料洩露。
7月5日,OPM同意為上述近十年前發生的資料洩露事件支付6300萬美元。
衆議院委員會對OPM黑客攻擊事件進行的調查顯示,OPM最早的已知資料洩露發生在2013年11月,該機構的系統至少自2005年以來很容易受到黑客襲擊。該報告還指出,資料洩露是一種(安全)文化缺失和上司失敗的結果。
四、摩根士丹利支付3500萬美元罰款
今年9月,跨國銀行業務巨頭摩根士丹利因未能安全更換公司硬碟驅動器和伺服器而被SEC罰款3500萬美元,該事件導緻了大約1500萬客戶的個人資料洩露。從2015年開始的五年中,該銀行不當處理了數千份包含個人身份資訊(PII)的裝置,并且在網際網路拍賣網站上的第三方轉售了一些裝置,但未檢查裝置中的客戶資料是否已删除。
摩根士丹利(Morgan Stanley)為該事件的罰款和資料安全訴訟賠償總計支付了大約1.2億美元。
五、Solarwinds為供應鍊攻擊集體訴訟支付2600萬美元
根據10月28日美國SEC公布的檔案,總部位于美國的IT管了解決方案提供商Solarwinds與軟體供應鍊攻擊受害者的集體訴訟達成和解協定,将支付2600萬美元。這次攻擊影響了全球數千名Solarwinds的客戶,包括網絡安全公司FireEye和多個美國政府機構,例如國土安全部和财政部。美國政府将黑客歸因于俄羅斯軍事黑客。
和解協定仍然需要得到法院的準許。除此之外,Solarwinds還因“網絡安全披露和公共聲明及其内部控制和披露控制和程式”面臨聯邦當局的執法行動。
六、教育技術提供商Chegg因多次資料洩露遭FTC起訴
上周,美國聯邦貿易委員會(SEC)就LAX資料安全實踐提出了對教育技術供應商Chegg的投訴。自2017年以來,該公司發生了四次資料洩露,大約4000萬客戶和員工暴露了個人資訊。
Chegg在2017年9月首次遭到入侵,源于針對多名員工的釣魚攻擊;2018年4月,某前承包商使用登入資訊通路了包含數百萬使用者資料的存儲桶;一年後,Chegg某高管的憑據在一次釣魚攻擊中被盜導緻資料洩露;又過了12個月,另一名Chegg員工遭到釣魚攻擊。FTC投訴稱,這些洩露事件都是若幹不良的資料安全實踐的結果。
FTC要求Chegg加強其資料安全性,限制其可以收集和保留的資料,為使用者提供多因素身份驗證以保護其帳戶,并允許使用者通路和删除其資料。
七、Meta因違反資料安全法規被罰款1700萬歐元
3月15日,愛爾蘭資料保護委員會(DPC)宣布,Facebook的母公司Meta因一系列的曆史資料洩露事件違反《通用資料保護條例》(GDPR),将被罰款1700萬歐元(約合人民币1.18億元)。
DPC在聲明中表示,在對Facebook在2018年6月7日-2018年12月4日期間收到的12個資料洩露通知進行調查後作出的上述決定。經調查,Facebook的母公司Meta違反了GDPR第5(2)和24(1)條,未能證明其為保護歐盟使用者的資料安全采取适當的技術和措施。此外,DPC強調,該決定代表了DPC和歐盟的對應監管機構的集體意見。
八、Cosmote因2020年資料洩露事件被罰款600萬歐元
今年2月,希臘最大的移動營運商Cosmote因在資料洩露事件後違反資料保護法被希臘資料保護局(HDPA)罰款600萬歐元。2020年該公司受到網絡攻擊,480萬客戶個人資料被盜。
監督機構發現,Cosmote沒有将其母公司OTE Group包括在調查中,也沒有實施足夠的資料保護政策和程式。
OTE集團還因缺乏适當的安全措施導緻訂戶呼叫資料洩漏而被罰款325萬歐元。
九、西班牙沃達豐接到“背靠背”罰單,支付394萬歐元
繼2021年因不當處理個人資料被西班牙資料保護局(AEPD)罰款815萬歐元後,2022年西班牙移動電信營運商沃達豐(VodafoneEspaña)西班牙再次接到AEPD 394萬歐元的罰單,理由是未能采取适當的安全措施以防止SIM卡欺詐複制(SIM交換)。AEPD發現沃達豐采取的安全措施不足,并且該公司沒有實施有效的GDPR合規性和管理模型來最大程度地減少身份盜用的風險。
十、法國Dedalus Biologie因大規模健康資料洩露被罰款150萬歐元
法國公司Dedalus Biologie是一家醫學分析實驗室軟體解決方案提供商,其客戶涉及約3000個私人醫學生物學實驗室、30到50個公共衛生機構的分析實驗室。該公司在2021年的資料洩露事件中暴露了近50萬人的健康資訊。
經法國資料保護局(CNIL)調查,Dedalus作為資料處理者違反了GDPR規定的多項義務,特别是個人資料安全保護義務。CNIL下設處罰機構審查委員會根據Dedalus的營業額以及違規行為的嚴重程度,最終于2022年4月15日對其作出罰款150萬歐元的處罰決定。
文章來源:GoUpSec
![vulnhub DC-4靶機實戰0X01 環境部署[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)