因为脆弱的信息安全防护而泄露了客户信息的代价是多少?对于Cox通信公司(Cox Communications),答案是将近六十万美元的罚款,并且美国联邦通信委员会在未来七年中注视着它的每一个有关信息安全的举措。
美国联邦通信委员会的执法局和有线电视和宽带互联网服务提供商Cox通信公司对涉及2014年8月发生的数据破坏已经与Lizard Squad黑客组织的成员达成和解。
古老社工手段:网络钓鱼
化名“EvilJordie”的黑客使用了社工较古老的方法来获得Cox的内部数据:他在电话里使Cox的客户服务代表和Cox承包商相信他是Cox的IT部门的系统管理员,然后发送给他们一个模仿企业内部网站的“网络钓鱼”恶意链接,让他们输入自己的登录凭据。
一旦拥有了用户名和密码,EvilJordie获取了Cox的客户数据,据一个FCC发言人说:
“包括姓名、地址、电子邮件地址、秘密问题/答案、PIN,以及部分的社会保障号和驾驶证号码。”
黑客还获取了Cox的VoIP电话服务中机密的专有网络信息(CPNI)。
之后EvilJordie公示了8个Cox客户的部分数据网络(通过一个现在注销了的Twitter帐户),并把数据传给黑客组织Lizard Squad的其他成员。 28个客户的帐户密码遭到更改,这证明了确有其事。
总之,61个Cox客户的数据已被曝光,基于Lizard Squad黑客能够获得账目的审计日志。至少一个客户的VoIP电话数据被泄露。Cox没有通知所有受影响的客户,也没有提交报告,这违反了FCC的规定。
Cox面临巨额罚款
该数据泄露事件违反了1996年修订的通信法。
FCC执法局的首席Travis LeBlanc在11月5日提交的报告中提到:
“国会和委员会已经明确表示,有线电视运营商,如Cox采取这种行动是有必要的,这是为了防止个人或有线电视运营商等未经授权访问这些信息”。
此外,Cox必须采取“一切合理的预防措施”来保护其客户的数据。另外,法律要求运营商通过FCC的报道门户网站及时披露CPNI违规后七个营业日的相关信息,以方便联邦调查局和美国特勤局的调查。
根据FCC的声明,除了支付$ 596,000罚款,考克斯必须通知客户其数据被曝光,提供一年的信贷监控,并“采取全面的合规计划”以防止未来的漏洞。
Cox被要求进行年度安全审计和系统渗透测试以及建立内部威胁监控和新的违约通知程序。执法局将直接监控Cox在未来七年中的努力。
小编结语
看起来Cox被迫做那些他们本该做到的事。此外,罚款似乎也很巨额,但是单纯从投资回报率的角度来看,罚款可能不足以阻止悲剧重现。 我们想要大公司花很多钱规避风险,但其实媒体曝光的可能性很少,公司知道这并不利于他们盈利。
