要点:
- Latitude Financial 遭到网络攻击以致数据大规模泄露,数百万名客户受到影响;
- 澳大利亚网络安全部长说网络攻击是一个“日益严重的威胁”;
- 专家认为,公司储存不必要的个人资料会令客户容易遭受黑客攻击。
Latitude Financial 表示,在3 月初的一次黑客攻击中, 790 万个澳大利亚和新西兰的驾驶执照号码被盗,这一数目远高于最初的估计。
Latitude Financial 是一家提供贷款、保险和信用卡服务的非银行贷款机构。它表示,在这次网络攻击中,有610 万个客户记录被盗,包括姓名、地址、电话号码和出生日期,而收集这些资料的日期“最早可追溯到 2005 年”。
专家表示,这次黑客攻击凸显了澳大利亚个人资料私隐法中的一些漏洞,显示现行法律对消费者个人资料的保护不力。
斯威本大学(Swinburne University)数据私隐讲师巴尼特(Belinda Barnet)表示,类似的黑客攻击可能再次发生,部分原因是对公司的惩罚力度不够。
巴尼特博士说:“规管方面肯定可以做得更好,应该对公司施以更重的罚款,对于一家侵犯了数百万人私隐的大公司来说,这只是微不足道。假如有强大的威慑力,公司就会有更大的动力去保障个人资料。”
“应该有监管。这样,公司就有责任以最强有力的措施去保护消费者的个人资料。保护个人资料并在黑客入侵后清理烂摊子的责任不在于客户。”
继过去12 个月澳大利亚发生一连串针对大公司包括 Optus 和 Medibank的网络攻击之后,Latitude Financial 是最近遭到网络攻击的一家公司。
READ MORE
Optus 数据泄露:网络攻击后电信公司的新法律是什么?
去年9 月,黑客窃取了Optus电讯公司的逾1200 万名客户的资料,包括客户的姓名、出生日期、电话号码、电邮、驾驶执照号码、护照号码或地址。
黑客在去年 10 月对 Medibank 进行大规模攻击后,公布了逾四成人口的医疗记录和详细私人资料,澳大利亚联邦政府表示会“追捕这些卑鄙之人”并建立新的警务模式。
Latitude Financial 于 3 月 16 日披露,它在数天前检测到其系统受到一次“复杂的恶意网络攻击”,但当时认为只涉及数十万条而非数百万条客户记录。
该公司与 JB Hi-Fi、The Good Guys 和 Harvey Norman 等零售商均有合作协议。
该公司向澳大利亚证券交易所透露,大约有 5.3万个护照号码被盗,以及不到100 名客户的月度财务报表被盗。
“我们陆续致函所有个人资料被泄的现有客户、旧客户和申请人,概述资料被盗的详情和我们的补救计划,” 该公司表示。
他们表示,如果客户选择更换身份证明文件,该公司将会提供补偿。
READ MORE
澳大利亚人泄露了多少数据?风险有多大?
政府有什么回应?
澳大利亚网络安全部长奥尼尔(Clare O’Neil)本周一表示,Latitude 遭黑客攻击事件“令人深感担忧”。
奥尼尔认同这一事实,网络攻击是“一种日益严重的威胁,并会在未来几年成为我们生活中更加常见的一部分”。
她说:“联邦政府在3 月 16 日召开了国家协调机制会议,召集了联邦、州和领地的有关部门,以确保向 Latitude Financial 和所有个人资料被盗的客户提供所需的支援。”
Minister for Cyber Security Clare O’Neil said the government shares the frustration and concern of Australians. Source: AAP / Dean Lewins
她称,联邦政府正与各州和领地合作,以减轻客户执照资料被盗的影响。
个人资料安全吗?
澳大利亚私隐基金会(Australian Privacy Foundation)董事会成员斯甘图 (Jodie Siganto)认为,没有人知道自己的个人资料的安全程度,这是最大问题。
斯甘图博士说:“我们依靠机构和政府部门去确保个人资料安全,但对他们如何做到这一点所知甚少。”
“如今没有公司的基础级网络安全系统受到规管或制订有关措施。如果有措施推出,可以令人对澳大利亚的机构保护个人资料的做法放心。”
她说,人们看到部分高调的黑客攻击“并不是很复杂,而且肯定会再次发生”。
“它们是由于内部没有适当的控制而造成的。”
“在保护个人资料方面,我不认为那些被黑客攻击的公司比许多其他公司差很多。”
总检察长德雷福斯(Mark Dreyfus)致力将《私隐法》现代化,并表示他正考虑赋予个人在资料被泄后提出诉讼的权利,目前澳大利亚法律中还没有这项规定。
READ MORE
【现场说法】认为自己的隐私权受到侵犯?可向数据保护机构OAIC投诉
澳大利亚去年立法,大大提高对严重或重复泄露个人资料行为的处罚,由原来的 220 万澳元提高至下述三种选择中的最高值:5000 万澳元、通过滥用个人资料获得的任何利益价值的三倍或有关公司在相关期间的调整后营业额的30%。
数码权利监察组织 Digital Rights Watch 的执行总监克拉克 (James Clark) 表示,《私隐法》需要为个人提供更强而有力的保护。
他说:“针对其它违规行为的最佳防御措施之一,就是一开始就不要收集不必要的数据。”
“我们确实需要一项私隐法,首选是明确规定将个人资料最小化和不收集这些信息。”
克拉克说:“人们应该严正地问Latitude为何保留所有这些个人资料。”
“一旦你确定了某人的身份,你真的需要保留该记录的副本吗?为什么需要保留超过十年? ”
欢迎下载应用程序SBS Audio,关注Mandarin。您也可以通过苹果播客、谷歌播客、Spotify等播客平台随时收听和下载SBS普通话音频故事。