Equifax 因2017年数据泄露事件遭英国法规部门罚款50万英镑

作者：Swati Khandelwal

翻译：360代码卫士团队

位于美国亚特兰大的消费者征信机构 Equifax 被英国隐私监督机构罚款50万英镑，原因是数千万消费者的个人和金融数据在去年的2017年大规模数据泄露事件中遭泄露。

50万英镑的罚款是按照英国《1998年数据保护法案》所能开出的最高罚款额，尽管这对于一家市值160亿美元的公司而言不值一提。

今年7月份，英国数据保护监督机构宣布就剑桥分析公司丑闻一事为 Facebook 公司开出50万英镑的罚款，指出 Facebook 未能阻止公民数据落入不法之徒手中。

在2017年5月中旬至7月底期间，Equifax 遭受大规模的数据泄露事件，全球多达1.45亿人口的高度敏感数据遭泄露。被盗信息包括数十万受害者的姓名、出生日期、电话号码、驾照详情、地址和社保号码以及信用卡信息和个人可识别信息。

数据泄露事件发生的原因是 Equifax 公司未能及时修复已发布补丁的严重的 Apache Struts 2 漏洞 (CVE-2017-5638)。

英国信息委员办公室 (ICO) 和金融监督局联合发起调查，并根据英国的数据保护法案开出最高罚款50万英镑，折合66.5万美元。

ICO 表示，尽管网络攻击攻陷位于美国的 Equifax 系统，但该公司“未能采取适当措施”保护其1500万名英国消费者个人信息的安全。

ICO 调查显示 Equifax 犯了“很多错误”如用户的个人信息被保存的时间超过必须时间。导致：

• 19,993 名英国消费者的姓名、出生日期、电话号码和驾照号码遭泄露。

• 637,430 英国消费者的姓名、出生日期和电话号码遭泄露。

• 多达1500万名英国消费者的姓名和出生日期遭泄露。

• 约2.7万名英国人的 Equifax 账户的邮件地址被泄露。

• 1.5 万名消费者的姓名、出生日期、地址、账户用户名和明文密码、账户恢复机密问题和答案、过时的信用卡号和支出金额信息也被盗。

ICO 表示，Equifax 已在2017年3月份得到美国国土安全部的警告通知称其系统中存在一个严重的 Apache Struts 2 漏洞，但公司并未采取适当措施予以修复。

最初据称 Equifax 在内部发现数据泄露问题后隐瞒了1个月的时间，让该公司的三名高管出售价值近200万的股票，尽管该公司否认了该言论。由于数据泄露事件发生在欧盟颁布《通用数据保护法案》之前，因此虽然按照英国旧的《数据保护法案》的最大额度实施罚款，但仍然比新法规定的要少，后者最高可判处罚款2000万欧元或年度营收的4%中的较高者。

Euifax 表示已全力配合 ICO 的调查，但“对调查结果和处罚结果表示失望”。

Equifax 于周三收到 ICO 发布的罚款通知，可提起上诉。

原文链接

https://thehackernews.com/2018/09/equifax-credit-reporting-breach.html

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。