Talktalk已被录制为2015年的网络攻击40万英镑良好,暴露了超过150,000名客户的个人信息。
新的信息专员伊丽莎白Denham表示,电信提供商未能申请“最基本的网络安全措施”,使其数据库易受SQL注入攻击攻击失败,以便更适用于更多可用的软件错误。三年。
2016年5月,TalkTalk揭示了袭击失去了100,000万维客户的宽带提供商,并花费超过40米才能纠正。
“黑客是错误的,但这不是公司诽谤其安全义务的借口。TalkTalk应该可以做更多的是保护其客户信息。它没有,我们已经采取了行动,“在7月份拿起她的帖子。
信息专员办公室(ICO)还发表了详细细目的谈话,以及它所做的错误。
“数据来自底层客户数据库,该数据库是2009年的Talktalk收购Tiscali的英国业务的一部分。它说,通过对三个易受攻击的网页的攻击访问数据。“
“TalkTalk未能正确扫描此基础架构以实现可能的威胁,因此不知不发出易受攻击的页面,或者它们能够访问持有客户信息的数据库。
“TalkTalk并不知道数据库软件的已安装版本已过时,提供者不再支持。该公司表示,当时该软件受到错误的影响时,它不知道 - 用于该修复程序。该错误允许攻击者绕过访问限制。是否已修复,这是不可能的。
“攻击者使用称为SQL注入的常用技术来访问数据。SQL注入很好地理解,存在和谈话应该知道它对其数据的风险构成了风险。“
丹恩说:“尽管有专业知识和资源,但谈到网络安全的基本原则,发现了谈论想要的。”
“记录罚款是对他人的警告网络安全不是IT问题,它是一个董事会问题。公司必须勤奋和警惕。他们必须这样做,不仅是因为他们有责任,而且因为他们对他们的客户有责任。“
大都会警方也在经营刑事调查,2015年,与袭击事件有关的15至20岁以上的五名人员。
ICO指出,SQL注入是一种常见的漏洞,其已经很好地理解为10多年,并且存在已知的防御。
该攻击访问了156,959个客户的个人数据,包括名称,地址,出生日期,电话号码和电子邮件地址。对于15,666人,攻击者还可以访问银行帐户详细信息和分类代码。
“在考虑到展示事件严重性的一系列因素后,ICO决定在展示一系列因素后发出最大的谈话。这些包括talktalk应该知道遗留的tiscali页面存在,即在同一个易受攻击的页面上有两个以前的攻击,但TalkTalk没有采取任何动作,软件过时,“ICO说。”
ICO可以发布的最高罚款是500,000英镑,但2018年生效的权力是指数据保护看门狗可以使这可以占公司全球收入的4%。
“如果大多数公司正在使用最新的最先进的软件和最佳实践程序保护他们的数据,那么曲线背后的任何公司都面临严重罚款,当然,声誉和业务丧失,”马克o 'Halloran是律师棺材喵喵的合作伙伴。
然而,一些观察者质疑甚至是一个记录ICO精致是否足以让公司改善其安全实践。
“虽然这可能被称为400,000英镑的罚款,但对Topertalk的转折和客户围绕展示而微不足道,而不是刺痛的刺痛,”沃里克商学院的实践教授Mark Skilton说。
“ITSTILL只等同于每头脑2.50英镑或每人损失银行数据的25英镑。罚款似乎是”比例“对Theive,但对可能的风险和缺乏有400万用户的公司缺乏尽职调查表现出很少。 ,“ 他加了。
“罚款中的资金可以在组织中更好的安全人员投资,进一步投资网络监测和反应检测,但它提出了关于当前法律惩罚措施的问题,这些措施将重点关注特定损失,而不是企业责任。Talktalk似乎已经轻轻起飞了。“
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。