廣東
近日,因大規模銷售假貨案而登上新聞熱搜的中國跨境電商平臺Pandabuy遭遇黑客二次勒索,黑客在數據泄露論壇以4萬美元的價格出售包含1700萬條用戶數據的“Pandabuy的完整數據庫”。Pandabuy曾支付贖金試圖阻止,但黑客再次勒索。
(圖片來自:GoUpSec)
Pandabuy是一個幫助全球用戶從中國主要電商平臺(如天貓、淘寶、京東)購買商品并進行國際配送的一站式跨境電商服務平臺。公司僅僅成立2年后就拿到國內絕大部分賣家都羨慕的爆單量和營收,相關數據顯示去年Pandabuy營業額就突破了40億元。
支付贖金也會被再次勒索
據外媒報道,Pandabuy 稱為阻止被盜數據泄露支付過贖金,但黑客又再次對其進行勒索。
Pandabuy發言人承認,曾向黑客支付了一筆未公開金額的贖金,試圖阻止數據泄露,但黑客可能已將數據共享給其他人,公司決定不再與其合作。
數據泄露的后果
根據目前的公開信息,Pandabuy已經承認在數據泄露事件中支付了(部分)黑客贖金,并確認修復了漏洞,但仍可能面臨ICO的調查和處罰。根據《通用數據保護條例》(GDPR),如果跨境電商網站Pandabuy泄露了1700萬條(包含大量歐盟用戶的)個人數據,不排除其英國總部可能面臨嚴重處罰。GDPR對企業數據泄露事件的處罰分為兩級:
一級罰款:最高可達870萬英鎊,或全球年營業額的2%,以較高者為準。這通常適用于較輕微的違規行為,例如記錄保存不當或未及時通知信息專員辦公室(ICO)等。
二級罰款:最高可達1750萬英鎊,或全球年營業額的4%,以較高者為準。這適用于更嚴重的違規行為,包括違反數據處理的核心原則,未能獲得適當的用戶同意,或未能實施適當的安全措施。
根據Enforcementtracker的不完全統計,GDPR生效以來,處罰案例數量最多的三種違規類型分別是:
- 數據處理的法律依據不充分
- 確保信息安全的技術和組織措施不充分
- 不遵守一般的數據處理原則
除了違規罰款,Pandabuy還將面臨用戶數據被競爭對手獲取的商業風險和用戶起訴的法律風險。
自1989年首次出現以來,勒索軟件經歷了三十多年的發展,已經成為全球網絡空間安全面臨的重大威脅和挑戰。全球的政府公共部門、教育醫療機構、金融機構、機關單位、商業組織等重點行業都曾遭到勒索組織的攻擊。
遭遇勒索攻擊后,為了減少影響,選擇支付贖金的機構不在少數,知名機構的妥協也容易讓更多的潛在受害者效仿。
即使支付贖金也不能阻止泄露
早前美國健康保險巨頭聯合健康集團(UnitedHealth)正式確認,今年2月子公司Change Healthcare遭遇的勒索軟件攻擊,已導致大量美國人的私人醫療健康數據被竊取。
此前據媒體報道,這家健康科技巨頭在3月支付了2200萬美元給一家名為ALPHV的俄羅斯犯罪團伙。然而,該團伙隨后消失,沒有按照約定將部分贖金分給負責竊取數據的附屬機構。
越來越多的企業組織選擇拒絕支付贖金,原因一是受害者逐漸有能力抵御勒索攻擊,能夠在不需要解密密鑰的情況下恢復業務正常運行;第二,受害者也發現就算支付了贖金,被盜數據仍舊會被泄露甚至是二次交易。
我們都知道數據是具有可復制性的,就算企業組織支付了高額贖金,也無法保證數據的安全性。因為,我們無法讓黑客守信。
重點行業應著重防范勒索攻擊
政府、國企、金融等這些機構更容易受到勒索攻擊的“特殊關注”,因為與其他機構相比,數據機密程度較高并特殊,更容易繳納贖金。而被勒索病毒入侵后,數據會被加密,如果黑客獲取的是明文(未加密)數據則直接造成數據泄露,影響較大且無法挽回。
黑客組織通常利用網絡“釣魚”郵件、軟件和應用漏洞以及向網站植入惡意代碼等方式,非法獲取受害者設備的訪問權限并進行數據加密,使受害者網絡系統癱瘓,無法正常使用,以此威脅勒索贖金。
安全可信國密改造從SSL證書開始
從技術層面來看,國密SSL證書和使用RSA算法的SSL證書都是采用自主可控密碼技術保護數據機密性、完整性,實現HTTPS網站加密傳輸,都可以很好地防止數據在傳輸過程中被竊取或篡改,確保通信主體身份真實性、完整性。
需要說明的是,無論采用哪種算法,SSL證書必須由通過國際WebTrust認證的CA機構頒發,才能被操作系統和瀏覽器信任。
在如今網絡安全越來越受關注的今天,網站安裝SSL安全證書已然成了一種趨勢。國密證書在確保密碼算法這一關鍵環節的自主可控,保障我國信息安全基礎設施的安全可信。
國密SSL證書提供的HTTPS信息傳輸加密與網站身份認證功能,確保了用戶信息在網絡傳輸過程中的保密性、完整性、真實性及不可篡改性,進一步提高了企業網站的信息安全系數,為用戶個人信息又增加了一層安全保障。
此外,為方便用戶選擇和使用,數安時代本著兼顧國密算法合規和全球通用性的原則,立足全行業服務經驗,深度整合第三方安全產品,為國密改造用戶提供SM2+RSA雙算法證書解決方案,同時致力于通過更簡單、更便捷的本地化服務持續助力國密SM2證書的推廣普及,以及在眾多行業的合規應用。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
