亿级美元已是常态：迄今为止损失超大的数据泄露盘点

尽管潜在罚金数额很是吓人，欧盟《通用数据保护条例》 (GDPR) 生效后的一年之内其实并未采取太多惩罚性措施。欧洲大陆的数据保护公司因数据泄露而支付的罚金也就在几万到几十万欧元之间，通常都与之前的监管规定所处罚金数额相当。眼看合规工作花费甚高而违规处罚似乎很轻，对 GDPR 可能实际上会雷声大雨点小的担忧一直在酝酿。

但英国航空公司被罚破纪录的 1.83 亿英镑 (2.3 亿美元) 后，这种担忧一扫而空。该罚金数额已超越 Uber 在 2018 年支付的 1.48 亿美元，是截止当时数额最高的数据泄露处罚。对英国航空公司开出罚单的是英国数据保护机构信息专员办公室 (ICO)，原因是 Magecart 团伙在长达两周的时间里用银行卡信息刮取脚本收获了近 50 万客户的个人信息及支付数据。

ICO 表示，该公司糟糕的安全设置导致了数据泄露。英国航空公司处罚案表明，GDPR 确实有其效力，而数据保护机构也不吝于行使其权力。鉴于 GDPR 是让董事会更加重视安全的主要推进力之一，CSO 和隐私/合规负责人也将拥有更大动力去进一步强化自身安全项目。

Equifax：13.8亿美元(至少)

2017 年，因某个数据库中存在 Apache Struts 框架未修复漏洞，Equifax 泄出近 1.5 亿人的个人信息及财务数据。该公司不仅在补丁发布几个月后尚未修复此关键漏洞，且在发现数据泄露后数周都未公布此事。

2019 年 7 月 22 日，Equifax 宣布接受金额创纪录的和解协议，了结了这桩导致 1.5 亿人个人信息及财务记录暴露的大规模数据泄露事件。这家四面楚歌的信用评级机构需支付至少 13.8 亿美元的消费者索赔金。受泄露事件影响的消费者可得到现金补偿、信用监视和身份恢复帮助，所需资金由该公司投注的 3.805 亿非复归基金支出。

协议还要求 Equifax 另外支付 1.25 亿美元的现金赔偿，且如果报名信用监视的人数超过 700 万，该公司需支付的数额还将大幅增加。此外，Equifax 还需支付 1.75 亿美元的罚款以平息州检察官的调查，美国消费者金融保护局和联邦贸易委员会 (FTC) 的调查也需 1 亿美元平复。

最后，未来五年内，Equifax 还必须拿出 10 亿美元改善其数据安全。而且，这还是在 Equifax 自事件发生后已在安全及技术方面投入 12.5 亿美元的基础上。

【本文是51CTO专栏作者“李少鹏”的原创文章，转载请通过安全牛（微信公众号id:gooann-sectv）获取授权】

戳这里，看该作者更多好文

（编辑：辽源站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!