英航官网流量劫持导致数据泄露,收到16亿GDPR罚单

举报
沃通WoTrus 发表于 2019/08/01 11:41:59 2019/08/01
【摘要】 为规避GDPR违规风险,我国企业无论是否在欧盟开展业务,都应加强数据安全防护,而数据加密是安全防护的重中之重。

今年78日,英国信息专员办公室(ICO)决定,对去年英国航空50万用户信息泄露一事开出1.83亿英镑(约合人民币15.8亿元)的罚单。这是欧盟《通用数据保护条例》(GDPR)生效以来的最高金额罚单,约占英国航空2018年收入的1.5%


根据英国信息专员办公室(ICO官方声明,英国航空于20189月向英国信息专员办公室(ICO)通报了一起网络安全事件:从20186月开始,英国航空官网的用户流量被劫持到一个欺诈网站,攻击者通过这个虚假站点截获50万用户的个人敏感信息,包括姓名、住址、账号密码、信用卡信息和订单详情等数据。ICO经过调查后认为,这起数据泄露事件的主要原因是该公司脆弱的安全防护措施。


欧盟《通用数据保护条例》(简称GDPR)于2018525日生效,被称为史上最严隐私条例 GDPR违规最高罚金可达公司全球总收益的4%2000万欧元(取最高值)。GDPR适用于向欧盟公民提供服务,向市场提供数据或收集数据的任何人,无论您的组织位于何处。

流量劫持的方式有很多种,常见的主要有DNS劫持、CDN入侵、网关劫持、ARP攻击、HTTP缓存投毒等等,不同的劫持方式,获得的流量有所差异。而利用HTTP明文协议实现流量劫持是最常用且低成本的劫持方式。HTTP协议中,一切数据都是明文传输,流量在传输过程的任意节点都可以被拦截、窃取或篡改,实现劫持跳转、弹窗广告、假冒网站、恶意代码注入等网络攻击。

为规避GDPR违规风险,我国企业无论是否在欧盟开展业务,都应加强数据安全防护,而数据加密是安全防护的重中之重。网站启用全站HTTPS加密,使用SSL证书在网络通信中保护数据机密性、完整性,验证服务器身份真实性,确保数据在传输过程的每个环节都全程加密,且传输到正确的服务器上,保护用户隐私数据安全,是防止HTTP流量劫持的有效防护手段。

沃通SSL证书由全球信任顶级根签发,支持所有浏览器和移动端,能够为Web站点、iOS/安卓APP、小程序等各类互联网应用提供HTTPS加密。沃通CA是由获得工信部《电子认证服务许可证》的权威CA机构,在数字证书行业具备十余年的行业积累,在机构资质、技术实力和服务能力等方面都具备行业领先水平,是您值得信赖的SSL证书服务提供商。 

 

消息来源:ICO官网博客 沃通原创整理


【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

举报
请填写举报理由
0/200