英航订票系统遭黑客入侵,38万客户个人资料外泄

2018-09-11


摘要:【英航订票系统遭黑客入侵38万客户资料外泄】据英国广播公司(BBC)报道,英国航空6日表示,公司订票系统曾遭黑客入侵,8月21日到9月5日期间客户订票信用卡信息及个人资料遭黑客攻击盗取,涉及约38万名客户,而且无论是通过网站还是手机APP购买的客户,都没能幸免。

英国国家打击犯罪调查局表示,已接到英航电脑系统遭黑客入侵的报告,正进行调查。

英航在一项声明中指出,正在紧急调查英航网站与手机APP遭黑客入侵事件,泄露数据包括顾客订票的个人资料与财务明细,但不包括护照与旅程数据。英航会向蒙受金钱损失的顾客作出赔偿。

英航称,网站运作目前恢复正常,客户资料外泄的问题已解决,准备出发的旅客可如常在官网预先办理登机手续。

据说公司已将事件通知警方及相关部门,将尽快通知受影响的客户,并需要认真检查其信用卡月结账单,呼吁有关客户与其银行和信用卡公司联系听取他们的建议。

英国国家打击犯罪调查局(NCA)表示,已接到英航电脑系统遭黑客入侵的报告,正进行调查。

英航为这起资料外泄事故致歉,并建议如客户担心受影响,请尽快与自身的银行或信用卡公司联系,依对方建议采取后续措施。

34岁客户威利斯表示,他周一向英航预订机票,受资料外泄事件影响,但未有收到英航通知,只好自行取消信用卡,他批评英航可耻,并没有尽力做好善后工作。

奥联点评

数据安全,个人隐私保护是网络信息安全的核心保护内容,GDPR 旨在取代1995年颁布的《数据保护指令(Directive 85/46/EC)》,新的法规极大扩展了要求范围,并反映了过去二十年来主要技术变化以及对个人数据保障缺陷的担忧。2018年5月25日,GDPR将正式生效,并取代当前的数据保护指令(DPD)。

GDPR对个人信息的保护及其监管达到了前所未有的高度,同时也扩大了对于用户个人数据的定义,企业必须将用户个人的IP地址或cookie数据等信息置于和其他用户机密数据(姓名、地址以及社会安全号码等)相同的保护等级。

密码技术是网络安全的核心技术,是数据安全的主动防御手段。采用密码技术保护数据,即使数据被窃取,窃密者“看不懂”数据。

解决方案

对于此次信息泄露事件,SM9标识密码采用标识作为公钥,可实现与业务系统灵活耦合,结合PFE格式保留算法可快速实现对在用业务系统的改造。FPE保留格式加密,是最适合于此类加密情况的密码学技术,它将一种特定格式的明文加密成相同格式的密文,也就是:在一个对称密钥k的控制之下,加密明文x成密文y,y具有和x相同的数据类型和长度。保留格式加密技术(FPE)可以在不需要更改数据类型或者应用程序的情况下完成对敏感信息的加密,具有如下的优势:

(1)不改动现有软件系统的代码:只需要加几行代码,即可完成数据库中关键信息的加解密。

(2)不改动现有数据库结构:因为FPE保留数据格式和长度的特点,数据库的字段不需要改变大小和类型即可直接应用该算法。

(3)非常适用于数据遮蔽应用,可自动批量快速完成对敏感数据的修改,从而保证克隆出来的数据库的数据量完全等同于生产库的数据量,敏感数据又做了伪装,如身份证号,姓名,家庭住址,工资等,看起来是真数据实际上是假数据,从而消除了敏感数据的泄露隐患。