因?yàn)榇嗳醯男畔踩雷o(hù)而泄露了客戶信息的代價(jià)是多少?對(duì)于Cox通信公司(Cox Communications),答案是將近六十萬美元的罰款,并且美國聯(lián)邦通信委員會(huì)在未來七年中注視著它的每一個(gè)有關(guān)信息安全的舉措。
美國聯(lián)邦通信委員會(huì)的執(zhí)法局和有線電視和寬帶互聯(lián)網(wǎng)服務(wù)提供商Cox通信公司對(duì)涉及2014年8月發(fā)生的數(shù)據(jù)破壞已經(jīng)與Lizard Squad黑客組織的成員達(dá)成和解。
古老社工手段:網(wǎng)絡(luò)釣魚
化名“EvilJordie”的黑客使用了社工最古老的方法來獲得Cox的內(nèi)部數(shù)據(jù):他在電話里使Cox的客戶服務(wù)代表和Cox承包商相信他是Cox的IT部門的系統(tǒng)管理員,然后發(fā)送給他們一個(gè)模仿企業(yè)內(nèi)部網(wǎng)站的“網(wǎng)絡(luò)釣魚”惡意鏈接,讓他們輸入自己的登錄憑據(jù)。
一旦擁有了用戶名和密碼,EvilJordie獲取了Cox的客戶數(shù)據(jù),據(jù)一個(gè)FCC發(fā)言人說:
“包括姓名、地址、電子郵件地址、秘密問題/答案、PIN,以及部分的社會(huì)保障號(hào)和駕駛證號(hào)碼。”
黑客還獲取了Cox的VoIP電話服務(wù)中機(jī)密的專有網(wǎng)絡(luò)信息(CPNI)。
之后EvilJordie公示了8個(gè)Cox客戶的部分?jǐn)?shù)據(jù)網(wǎng)絡(luò)(通過一個(gè)現(xiàn)在注銷了的Twitter帳戶),并把數(shù)據(jù)傳給黑客組織Lizard Squad的其他成員。 28個(gè)客戶的帳戶密碼遭到更改,這證明了確有其事。
總之,61個(gè)Cox客戶的數(shù)據(jù)已被曝光,基于Lizard Squad黑客能夠獲得賬目的審計(jì)日志。至少一個(gè)客戶的VoIP電話數(shù)據(jù)被泄露。Cox沒有通知所有受影響的客戶,也沒有提交報(bào)告,這違反了FCC的規(guī)定。
Cox面臨巨額罰款
該數(shù)據(jù)泄露事件違反了1996年修訂的通信法。
FCC執(zhí)法局的首席Travis LeBlanc在11月5日提交的報(bào)告中提到:
“國會(huì)和委員會(huì)已經(jīng)明確表示,有線電視運(yùn)營商,如Cox采取這種行動(dòng)是有必要的,這是為了防止個(gè)人或有線電視運(yùn)營商等未經(jīng)授權(quán)訪問這些信息”。
此外,Cox必須采取“一切合理的預(yù)防措施”來保護(hù)其客戶的數(shù)據(jù)。另外,法律要求運(yùn)營商通過FCC的報(bào)道門戶網(wǎng)站及時(shí)披露CPNI違規(guī)后七個(gè)營業(yè)日的相關(guān)信息,以方便聯(lián)邦調(diào)查局和美國特勤局的調(diào)查。
根據(jù)FCC的聲明,除了支付$ 596,000罰款,考克斯必須通知客戶其數(shù)據(jù)被曝光,提供一年的信貸監(jiān)控,并“采取全面的合規(guī)計(jì)劃”以防止未來的漏洞。
Cox被要求進(jìn)行年度安全審計(jì)和系統(tǒng)滲透測(cè)試以及建立內(nèi)部威脅監(jiān)控和新的違約通知程序。執(zhí)法局將直接監(jiān)控Cox在未來七年中的努力。
小編結(jié)語
看起來Cox被迫做那些他們本該做到的事。此外,罰款似乎也很巨額,但是單純從投資回報(bào)率的角度來看,罰款可能不足以阻止悲劇重現(xiàn)。 我們想要大公司花很多錢規(guī)避風(fēng)險(xiǎn),但其實(shí)媒體曝光的可能性很少,公司知道這并不利于他們盈利。