英航官网流量劫持导致数据泄露,收到16亿GDPR罚单

简介: 为规避GDPR违规风险,我国企业无论是否在欧盟开展业务,都应加强数据安全防护,而数据加密是安全防护的重中之重。

今年7月8日,英国信息专员办公室(ICO)决定,对去年英国航空50万用户信息泄露一事开出1.83亿英镑(约合人民币15.8亿元)的罚单。这是欧盟《通用数据保护条例》(GDPR)生效以来的最高金额罚单,约占英国航空2018年收入的1.5%。

blog_image_1400x788

根据英国信息专员办公室(ICO)官方声明,英国航空于2018年9月向英国信息专员办公室(ICO)通报了一起网络安全事件:从2018年6月开始,英国航空官网的用户流量被劫持到一个欺诈网站,攻击者通过这个虚假站点截获50万用户的个人敏感信息,包括姓名、住址、账号密码、信用卡信息和订单详情等数据。ICO经过调查后认为,这起数据泄露事件的主要原因是该公司脆弱的安全防护措施。
ICO_2

欧盟《通用数据保护条例》(简称GDPR)于2018年5月25日生效,被称为“史上最严隐私条例”, GDPR违规最高罚金可达公司全球总收益的4%或2000万欧元(取最高值)。GDPR适用于向欧盟公民提供服务,向市场提供数据或收集数据的任何人,无论您的组织位于何处。

流量劫持的方式有很多种,常见的主要有DNS劫持、CDN入侵、网关劫持、ARP攻击、HTTP缓存投毒等等,不同的劫持方式,获得的流量有所差异。而利用HTTP明文协议实现流量劫持是最常用且低成本的劫持方式。HTTP协议中,一切数据都是明文传输,流量在传输过程的任意节点都可以被拦截、窃取或篡改,实现劫持跳转、弹窗广告、钓鱼网站、恶意代码注入等网络攻击。

为规避GDPR违规风险,我国企业无论是否在欧盟开展业务,都应加强数据安全防护,而数据加密是安全防护的重中之重。网站启用全站HTTPS加密,使用沃通SSL证书在网络通信中保护数据机密性、完整性,验证服务器身份真实性,确保数据在传输过程的每个环节都全程加密,且传输到正确的服务器上,保护用户隐私数据安全,是防止HTTP流量劫持的有效防护手段。

消息来源:ICO官网博客 沃通原创整理

相关文章
|
云安全 安全 网络安全
扬言春节发起攻击的匿名者真的开攻了,防不胜防的安全威胁如何应对?
2019年1月24日,黑客组织匿名者在社交媒体上对外发表声明,将于2019年2月13日针对我国政府网站采取攻击。 在监测到相关信息后,阿里云安全团队立即启动了重大安全事件应急响应流程,为目前在阿里云上和不在阿里云上的多个目标单位提供了包含DDoS高防IP、Web应用防火墙产品和7*24小时安全专家服务的保障方案,进行应急响应支持,且多家单位在2月13日前完成了针对本次事件的安全应急方案部署。
1377 0
RAKsmart服务器查看网络攻击和投诉封停方法
RAKsmart是美国知名的服务器租用商,也是美国机房位置中距离中国大陆最近的美国机房,在国内访问速度快。最重要的是,RAKsmart机房与HE线路一样,与国内中国联通、中国电信、中国移动三大线路直连,国内访问速度快。用户使用的时候不知道在哪查看网络攻击和投诉封停,主机侦探为大家介绍一下。
1335 0
|
监控 安全 算法
如果全球的沙子都对你发起DDoS攻击,如何破?
IPv6已来 2016年6月1日开始,苹果规定所有提交至AppStore的应用必须兼容IPv6-only标准。可以预计,2018年底会有大量互联网资源、上网用户使用IPv6协议。这意味着,如果一个互联网服务不能支持IPv6,将失去大量用户流量。
2951 0
|
机器学习/深度学习 云安全 安全
游戏安全资讯精选 2017年第十期 英国彩票网遭遇DDoS攻击,中断90分钟 DNSMASQ多高危漏洞公告 阿里云协助警方破获国内最大黑客攻击案,攻击峰值690G
英国彩票网遭遇DDoS攻击,中断90分钟,DNSMASQ多高危漏洞公告,阿里云协助警方破获国内最大黑客攻击案,攻击峰值690G
1949 0
|
网络协议 安全
全球钓鱼网站调查报告:近半恶意注册域名针对国内银行企业
本文讲的是全球钓鱼网站调查报告:近半恶意注册域名针对国内银行企业,据最新报告显示,黑客越来越多地开始滥用那些高度分散的网络域名注册系统来购买可用于网络钓鱼攻击的互联网地址了。
2296 0
下一篇
无影云桌面