【猎云网(微信号:ilieyun)】6月13日报道(编译:福尔摩望)
欧洲电子和电信零售商Dixons Carphone称,其系统遭到黑客入侵,入侵者试图窃取590万支付卡数据。在今天发表的一份声明中,该公司表示其在对系统和数据进行审查时,发现了数据泄露行为。它还证实已就这一事件通知了英国数据监管机构ICO、财务行为监管机构FCA和警方。
据该公司称,绝大多数的支付卡(约590万)都受到了芯片和PIN技术的保护。此外,它还表示,这些支付卡所能访问的数据并不包含PIN码,也不包含卡验证值(CVV)或任何可能进行持卡人身份识别或购买的验证数据。然而,大约有10.5万张非欧盟发行的支付卡,由于缺少芯片和PIN,已经处于被盗用状态。
“作为预防措施,我们立即通过支付提供商通知了相关发卡公司,以便他们可以采取适当措施保护客户。不过,我们没有证据证明这一事件与任何欺诈行为有关,”该公司写道。
除支付卡之外,入侵者还访问了包含非财务个人数据的120万条记录,例如姓名、地址或电子邮件地址。
“我们没有证据表明这些信息已经离开我们的系统,或者在这个阶段导致了任何欺诈行为。我们正在联系那些非财务个人数据被盗的用户,告知他们这一事件,作出道歉,并就他们应采取的保护措施给予建议,”该公司补充说。
Dixons Carphone首席执行官Alex Baldock在关于这一事件的声明中表示:“我们对此可能会导致的任何不安感到非常失望和歉意。我们的数据保护必须是我们业务的核心,这也是我们的短板。我们已采取行动,关闭这一未经授权的访问。我们决心付诸行动,并正在采取措施。我们立即启动了调查,聘请了领先的网络安全专家,为我们的系统增加了额外的安全措施,并将直接与受影响的人员进行沟通。网络犯罪是当今企业需要持续战斗的一面,我们也决心应对这一瞬息万变的挑战。”
该公司没有透露其系统是何时遭受入侵的;也没有提供确切发现入侵的时间;也没有透露过了多久才开展调查。新的欧洲数据保护法规在数据泄露方面非常严格,要求数据控制人员在其知晓泄露事件后72小时内进行报告。这些事件包括个人丢失数据,被盗方式或以其他方式被未经授权的第三方访问。未及时披露泄露事件可能会在GDPR数据保护框架下受到巨额的罚款。
昨日,ICO对2014年发生的雅虎数据泄露事件处以25万英镑的罚款,不过按照英国先前的数据保护制度,最高罚款可能会达到50万英镑。而在GDPR下,罚款可以扩大到该公司全球年营业额的4%(或2000万欧元,以较高者为准)。
一位ICO发言人表示:“涉及Dixons Carphone的数据泄露事件,我们已经收到报告,我们正在联络国家网络安全中心、金融行为监管局和其他相关机构,以确定详细信息及对客户的影响。”
Dixons Carphone旗下的移动部门Carphone Warehouse,在2015年也遭遇了一次重大黑客攻击。今年1月,该公司因数据泄露而被ICO罚款40万英镑,此次数据泄露影响了大约300万人。该公司股价今早在报告最新泄露事件后下跌5%左右,之后略有回升,但在本文发布前仍下跌约3.5%。