डिक्सन कारफोन उल्लंघन से सबक सीखना

  • Oct 20, 2023

खुदरा विक्रेता के डेटा उल्लंघन के कारण उस पर £500,000 का जुर्माना लगाया गया, लेकिन अन्य कंपनियां क्या सबक सीख सकती हैं?

डिक्सन कारफोन हाल ही में £500,000 का जुर्माना लगाया गया था सूचना आयुक्त कार्यालय (आईसीओ) की जांच के बाद यह निष्कर्ष निकला कि "व्यवस्थित विफलताओं" की एक श्रृंखला खुदरा विक्रेता ने व्यक्तिगत डेटा को कैसे सुरक्षित रखा, जिसके कारण साइबर द्वारा 14 मिलियन ग्राहकों की जानकारी चुरा ली गई अपराधी.

सुरक्षा

  • अत्यधिक सुरक्षित दूरस्थ श्रमिकों की 8 आदतें
  • अपने फोन से स्पाइवेयर कैसे ढूंढें और हटाएं
  • सर्वोत्तम वीपीएन सेवाएँ: शीर्ष 5 की तुलना कैसे की जाती है?
  • कैसे पता करें कि आप डेटा उल्लंघन में शामिल हैं - और आगे क्या करें

यह हैकिंग अभियान जुलाई 2017 और अप्रैल 2018 के बीच सक्रिय था और इसका परिणाम सामने आया मैलवेयर 5,390 प्वाइंट-ऑफ-सेल (पीओएस) सिस्टम पर स्थापित किया जा रहा है करीज़ पीसी वर्ल्ड और डिक्सन ट्रैवल स्टोर्स पर, डीएसजी रिटेल लिमिटेड के स्वामित्व में।

जांच पर ICO रिपोर्ट वर्णन करता है कि "बुनियादी, सामान्य सुरक्षा उपायों से संबंधित विफलताओं" के परिणामस्वरूप डेटा उल्लंघन कैसे हुआ।

देखना: मेरे चुराए गए क्रेडिट कार्ड विवरण का उपयोग 4,500 मील दूर किया गया। मैंने यह पता लगाने की कोशिश की कि यह कैसे हुआ (कवर स्टोरी पीडीएफ) (टेक रिपब्लिक)

प्राथमिक खाता संख्या और समाप्ति तिथि सहित कुल 5,529,349 ईएमवी चिप-एंड-पिन कार्ड से डेटा लिया गया था। 52,788 गैर-ईएमवी कार्डों के लिए, संभवतः यूके के बाहर के खरीदारों से, 8,629 कार्डों के संबंध में कार्डधारक के नाम के साथ खाता संख्या और समाप्ति तिथि ली गई थी।

इसके अलावा, डीएसजी ने गणना की कि सबसे खराब स्थिति में नाम, पते और फोन नंबर जैसे 10 मिलियन रिकॉर्ड भी थे इसके सर्वर से चोरी हो गई, साथ ही अन्य 2.9 मिलियन रिकॉर्ड जो संभवतः चोरी हो गए थे, साथ ही 4.7 मिलियन वाले डेटाबेस का 73% भी चोरी हो गया। अभिलेख. कुल मिलाकर, हैक में संभवतः हैकरों द्वारा निकाले गए 14 मिलियन लोगों का डेटा देखा गया जो पकड़े नहीं गए हैं।

जब उल्लंघन केवल जून 2018 में सार्वजनिक प्रकाश में आया, घुसपैठिए नेटवर्क पर सक्रिय होने की तारीखों से पहले आते थे सामान्य डेटा संरक्षण विधान (जीडीपीआर) लागू हुआ मई 2018 में पूरे यूरोपीय संघ में. यदि उल्लंघन कुछ महीनों बाद हुआ होता, तो डीएसजी को वार्षिक वैश्विक कारोबार का 4% तक - एक महत्वपूर्ण जुर्माना का सामना करना पड़ सकता था। 1998 डेटा संरक्षण अधिनियम के तहत, अधिकतम संभव जुर्माना £500,000 है।

"इस मामले में उल्लंघन इतने गंभीर थे कि हमने पिछले कानून के तहत अधिकतम जुर्माना लगाया, लेकिन जीडीपीआर के तहत जुर्माना अनिवार्य रूप से बहुत अधिक होगा," जांच के निदेशक स्टीव एकर्सले ने कहा आईसीओ.

जीडीपीआर के तहत जुर्माना बहुत अधिक है; जुलाई में वापस, ब्रिटिश एयरवेज़ पर £183 मिलियन का जुर्माना लगा और मैरियट होटल्स पर £99m का जुर्माना लगाया गया.

डीएसजी उल्लंघन पर आईसीओ की रिपोर्ट में कहा गया है, "यह विशेष रूप से चिंताजनक है कि ऐसी किसी भी प्रणाली के लिए आवश्यक बुनियादी, सामान्य उपायों से संबंधित कई अपर्याप्तताएं हैं।"

अन्य मुद्दों के अलावा, ICO ने पाया कि DSG का नेटवर्क पृथक्करण अपर्याप्त था, और POS टर्मिनलों के लिए कोई स्थानीय फ़ायरवॉल कॉन्फ़िगर नहीं किया गया था। इसमें कहा गया है कि अपने डोमेन नाम नियंत्रकों के सॉफ़्टवेयर पैचिंग के लिए डीएसजी का दृष्टिकोण अपर्याप्त था, और समझौता किए गए वातावरण की भेद्यता स्कैनिंग नियमित आधार पर नहीं की गई थी।

आईसीओ ने कहा कि डीएसजी के पास लॉगिंग और निगरानी के लिए कोई प्रभावी प्रणाली नहीं थी जिसका उपयोग घटनाओं की पहचान करने और प्रतिक्रिया देने के लिए किया जाता था और यह अपने पीओएस सिस्टम की सुरक्षा को प्रभावी ढंग से प्रबंधित नहीं करता था।

व्यक्तिगत डेटा संसाधित करने वाले अन्य खुदरा विक्रेताओं और संगठनों को यह सुनिश्चित करना चाहिए कि उन्होंने इन सभी मुद्दों को स्वयं कवर किया है।

"उपभोक्ता डेटा संसाधित करने वाले सभी संगठन निशाने पर होंगे। इसे ध्यान में रखते हुए, तनाव-परीक्षण प्रणालियाँ रखें; सुनिश्चित करें कि आप हर चीज़ की समीक्षा कर रहे हैं। सिस्टम में सेंध लगाने का प्रयास करने के लिए सुरक्षा सलाहकारों को बुलाएँ; बस यह सुनिश्चित करने के लिए इसका परीक्षण करें कि यह पर्याप्त रूप से प्रतिरोधी है" बार्लो रॉबिंस में बौद्धिक संपदा प्रौद्योगिकी और मीडिया के प्रमुख लॉरी हेज़लर कहते हैं।

"अगर मैं एक खुदरा विक्रेता होता, तो मैं आपके पास मौजूद सुरक्षा वास्तुकला को गंभीरता से देख रहा होता। यदि मैं इनमें से किसी एक संगठन के बोर्ड में बैठा होता, तो मैं अपनी टीमों से यह समझाने के लिए कहता कि ऐसा कैसे नहीं हो सकता हमारे लिए और क्यों हमें इसी तरह का निर्णय जारी नहीं किया जाएगा" केम्प लिटिल में वाणिज्यिक प्रौद्योगिकी भागीदार एम्मा राइट कहती हैं एलएलपी.

देखना: 14 मिलियन लोगों को प्रभावित करने वाले डेटा उल्लंघन के बाद डिक्सन कारफोन पर £500,000 का जुर्माना लगाया गया

डिक्सन कारफोन जुर्माना जारी करने के आईसीओ के फैसले से खुश नहीं है और कंपनी अपील पर विचार कर रही है।

"हमने अपनी पहचान और प्रतिक्रिया क्षमताओं को उन्नत किया है और, जैसा कि आईसीओ स्वीकार करता है, हमने किया है हमारी सूचना सुरक्षा प्रणालियों और प्रक्रियाओं में महत्वपूर्ण निवेश,'' डिक्सन के सीईओ एलेक्स बाल्डॉक कहते हैं कार फ़ोन।

"हम ICO के कुछ प्रमुख निष्कर्षों से निराश हैं जिन्हें हमने पहले चुनौती दी है और विवाद करना जारी रखा है। हम उनके निष्कर्षों का विस्तार से अध्ययन कर रहे हैं और अपील के लिए अपने आधार पर विचार कर रहे हैं।"

साइबर सुरक्षा पर अधिक जानकारी

  • डेटा गोपनीयता: जर्मनों ने लापरवाह कॉल सेंटरों पर अब तक का सबसे बड़ा जीडीपीआर जुर्माना लगाया है
  • यूरोप के जीडीपीआर ने अपनी प्रारंभिक अवस्था में बहुत कुछ हासिल किया है सीएनईटी
  • जीडीपीआर आगे कहां जाता है: दुनिया भर में डिजिटल गोपनीयता कैसे हावी हो रही है
  • कंपनियां अभी भी जीडीपीआर नियम में बदलाव और संभावित ईयू डेटा उल्लंघनों के लिए तैयार नहीं हैं
  • साइबर सुरक्षा: डेटा सुरक्षा प्रमुख ने चेतावनी देते हुए कहा कि इसे अपनी तकनीकी टीम पर न छोड़ें अन्यथा आप में सेंध लग जाएगी