赶上GDPR，英国史上最大规模的数据泄露事件主角将何去何从？

聚焦源代码安全，网罗国内外最新资讯！

翻译：360代码卫士团队

英国家喻户晓的手机零售商Dixons Carphone宣布称正在调查“对公司所持有的某些数据的越权访问。”该公司指出该越权访问“试图攻陷Currys PC World和Dixons Travel商店中其中一个处理系统中的590万张卡”，“以及包含非金融个人数据的120万个记录，如姓名、地址或邮件地址”。

这可能是英国历史上发生的规模最大的数据泄露事件。

会适用《通用数据保护条例》吗？

目前，尚未公布数据泄露事件是如何发生的以及幕后黑手的身份。然而，有多份报告指出，这起攻击几乎在2017年7月就已开始。由于目前尚未发布技术详情，因此人们主要关心的是为何过了这么长时间才发现攻击；该公司是如何处理数据泄露和通知的；以及数据保护机构是否会按照1998年发布的《英国数据保护法案》还是在今年5月25日公布的《通用数据保护条例》处理此事。

英国信息专员办公室 (ICO) 在声明中也并未提供有效信息。一名发言人指出，“目前尚处于调查初期阶段。我们将查看事件是何时发生的以及何时被发现的，这些都会决定是根据1998年的法案还是2018年的法案。”“2018年法案”在英国退欧之前都被称作“GDPR”。

之所以出现这种歧义是因为攻击事件发生在 GDPR颁布前。我们所不知道的是，Dixons Carphone 是何时发现数据遭泄露的。从5月25日开始，它很可能要受到 GDPR 严格的数据泄露通知条例的约束。

如果整个事件被按 GDPR 规定处理，那么 ICO 可能会对 Dixons Carphone 开出全球年收入总额的4%的罚单。去年，该公司的年销售总额为105亿英镑（折合140亿美元）。根据 GDPR 开出的罚单可能达到数亿英镑，而如果按照1998年的法案，则最高罚款仅为50万英镑（折合67万美元）。

为何这么久之后才发现攻击迹象？

从技术层面来讲，人们主要关注的是 Dixons Carphone 公司为何过了这么久才发现数据泄露事件。ThinkMarble 公司的数据保护律师兼法律服务负责人 Robert Wassall 评论称，“数据泄露是通过一次例行安全审计才发现的事实可以从两方面解读。确实，发现这起泄露事件说明漏洞审计和扫描机制起作用。另一方面，数据泄露始于2017年，为何不能更早地发现？鉴于几乎花了一年的时间才发现问题，那么安全扫描的频率是多高？”

而 LogRhythm 公司的副总裁兼 MD EMEA Ross Brewer 则显得随和得多。他指出，“这起数据泄露时间的规模和时间跨度都非常大。最初的数据访问发生在去年7月份，但事件在上周才被发现，这说明该公司缺乏重要的威胁检测能力。”

数据泄露和时间通知是如何开展的？

事件通知主要围绕 Dixons Carphone 的声明而来。一些评论者赞赏该公司通知受害者的速度和信息完整性。网络安全公司 High-Tech Bridge 的首席执行官兼创始人 Ilia Kolochenko 指出，“去年发生了数不清的攻陷记录事件，我认为这起事件的重要性没那么高。每天都在发生类似但未被发现的数据泄露事件。除非我们有证据认为所声称的被盗数据已遭恶意利用，那么就未对受害者造成重大损害。鉴于这些事实，Dixons Carphone 公司的披露决策实际上非常值得赞赏，尽管有人可能会质疑披露的时间轴问题。很多其它公司没有这么大的勇气公布真相，即便公布了GDPR，这项新法案也无法监控数据泄露的正确披露情况。”

然而，也有人担心该公司发布的声明试图将对受害者造成的未来损害最小化。Dixons Carphone 公司的首席执行官 Alex Baldock 表示，“我们目前并未发现因这些事件造成的欺诈证据。”这份声明还表示受害者无需担心卡详情，因为迄今为止多数遭泄露的卡是芯片和 PIN 卡，并不涉及 CVV 码。声明并未提及针对 Dixons Carphone 泄露事件可能的或潜在受害者的钓鱼攻击和其它社工欺诈。

Trusted Knight 公司的威胁情报官 Trevor Resche 就直言不讳地表示，“Dixons 数据泄露事件在未来一段时间内会产生深远后果。虽然 Dixons 公司指出并未发现欺诈证据，既然数据已处于犯罪圈子，不久之后就会在犯罪分子之间售卖，而紧随其后的就是钓鱼攻击和暴力攻击。”

截止目前，我们对事件了解的还不够多。Dixons Carphone 目前正在和执法部门 (NCSC)、金融监管机构 (FCA)、数据保护监管机构 （ICO）以及“顶级网络安全专家”展开合作。虽然受害者将需要密切监控自己的银行账户并留心收到的所有 Dixons Carphone 邮件；但所有企业和网络安全行业将尤其监控数据保护监管机构的反应。如果 ICO 认为 Dixons Carphone 未能保护消费者数据，那么该公司可能会被重罚。

https://www.securityweek.com/59-million-card-details-accessed-dixons-carphone-hack