敏感信息暴露无加密

英国航空违反了数据保护法，并且在两个多月的时间内都没有发现攻击

在发生数据泄露事件后，英国航空公司被罚款2000万英镑（合2600万美元），该数据泄露事件导致其系统遭到黑客入侵，并且40万名客户的个人和支付卡信息被盗。

这是英国信息专员办公室（ICO）发出的最高罚金，相比之下，这笔罚款仅因剑桥分析公司（Cambridge Analytica）丑闻就砸了Facebook的手腕，仅为50万英镑。

但许多人会认为英国航空公司（British Airways）轻浮了，由于2018年发生的违规行为最初面临1.83亿英镑的ICO罚款。

英国航空公司的罚款可能是有史以来最高的，但与原先的罚款相比仍下降了90％。

ICO宣布了最终罚款，并解释说，它已考虑到了英国航空公司的表示和“ COVID-19对他们的业务的经济影响”。

仔细阅读这本书，如果英国航空公司的命运没有受到全球大流行的严重打击，那么罚款将因其巨大的安全失败而被削弱。

英国航空的失败是巨大的。

ICO根据事件编纂的报告确定的航空公司失误包括：

• 无法对提供对英国航空公司内部系统的远程访问的帐户强制使用多因素身份验证（MFA）。
  

• 阻止利用Citrix漏洞的失败，该漏洞使攻击者可以启动未经授权的工具和脚本来进行网络侦察。

• 以特权用户以明文形式存储特权域管理员帐户的登录详细信息（用户名和密码），从而使攻击者“几乎无限制地访问相关的受感染域”。

也许最令人惊讶的是，英国航空不顾后果地将客户的支付卡详细信息（包括CVV号）存储为纯文本文件。

攻击者可以使用大约108,000张支付卡，因为数据是由英国航空公司存储的，没有任何加密。

这种安全漏洞以及在航空公司的付款页面上植入恶意的Magecart掠夺代码，偷窃了数十万人通过英航官方网站和移动应用程序进行预订时的个人和支付卡详细信息，最终导致今天的罚款。

是的，2000万英镑与英国航空公司最初面临的1.83亿英镑罚款不相上下。但这仍然是英国因数据泄露而遭受的最高罚款，并有望以某种方式使其他公司更加努力地改善其系统的安全性。

解决之道

MFA（多因素身份认证）是最有效的识别用户身份，并确保身份安全的解决方案。通过实施MFA来增强对系统的访问控制，可以阻止攻击在公司的网络中蔓延。MFA可在以下业务场景中进行实施，包括：远程访问、网络访问、密码管理、网络登录以及数字签名、数据和电子邮件加密等。

CipherTrust Tokenization（令牌化/数据脱敏）大大降低了遵守安全策略和法规要求（如PCI DSS）所需的成本和精力，同时还使保护包括个人身份信息（PII）在内的其他敏感数据变得更加容易。尽管行业中没有令牌化标准，但是大多数令牌化解决方案都属于以下两种架构之一：无库令牌化或有库券化令牌化安全和匿名化敏感资产。令牌化软件可以驻留在数据中心，大数据环境或云中。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 可持续增长需要强大的网络安全：原因如下

• SafeNet eToken 5110系列USB Token（U盾）

• 英国会在数字身份方面效仿欧盟吗？

• 英国产权转让协会贷款人调查显示需要eIDAS合格的电子签名

• 应选择哪些 MFA 方法以实现 PCI DSS 4.0 合规性？