因?yàn)榇嗳醯男畔踩雷o(hù)而泄露了客戶信息的代價(jià)是多少？對(duì)于Cox通信公司（Cox Communications），答案是將近六十萬(wàn)美元的罰款，并且美國(guó)聯(lián)邦通信委員會(huì)在未來(lái)七年中注視著它的每一個(gè)有關(guān)信息安全的舉措。

美國(guó)聯(lián)邦通信委員會(huì)的執(zhí)法局和有線電視和寬帶互聯(lián)網(wǎng)服務(wù)提供商Cox通信公司對(duì)涉及2014年8月發(fā)生的數(shù)據(jù)破壞已經(jīng)與Lizard Squad黑客組織的成員達(dá)成和解。

古老社工手段：網(wǎng)絡(luò)釣魚

化名“EvilJordie”的黑客使用了社工最古老的方法來(lái)獲得Cox的內(nèi)部數(shù)據(jù)：他在電話里使Cox的客戶服務(wù)代表和Cox承包商相信他是Cox的IT部門的系統(tǒng)管理員，然后發(fā)送給他們一個(gè)模仿企業(yè)內(nèi)部網(wǎng)站的“網(wǎng)絡(luò)釣魚”惡意鏈接，讓他們輸入自己的登錄憑據(jù)。

一旦擁有了用戶名和密碼，EvilJordie獲取了Cox的客戶數(shù)據(jù)，據(jù)一個(gè)FCC發(fā)言人說(shuō)：

“包括姓名、地址、電子郵件地址、秘密問題/答案、PIN，以及部分的社會(huì)保障號(hào)和駕駛證號(hào)碼。”

黑客還獲取了Cox的VoIP電話服務(wù)中機(jī)密的專有網(wǎng)絡(luò)信息（CPNI）。

之后EvilJordie公示了8個(gè)Cox客戶的部分?jǐn)?shù)據(jù)網(wǎng)絡(luò)（通過(guò)一個(gè)現(xiàn)在注銷了的Twitter帳戶），并把數(shù)據(jù)傳給黑客組織Lizard Squad的其他成員。 28個(gè)客戶的帳戶密碼遭到更改，這證明了確有其事。

總之，61個(gè)Cox客戶的數(shù)據(jù)已被曝光，基于Lizard Squad黑客能夠獲得賬目的審計(jì)日志。至少一個(gè)客戶的VoIP電話數(shù)據(jù)被泄露。Cox沒有通知所有受影響的客戶，也沒有提交報(bào)告，這違反了FCC的規(guī)定。

Cox面臨巨額罰款

該數(shù)據(jù)泄露事件違反了1996年修訂的通信法。

FCC執(zhí)法局的首席Travis LeBlanc在11月5日提交的報(bào)告中提到：

“國(guó)會(huì)和委員會(huì)已經(jīng)明確表示，有線電視運(yùn)營(yíng)商，如Cox采取這種行動(dòng)是有必要的，這是為了防止個(gè)人或有線電視運(yùn)營(yíng)商等未經(jīng)授權(quán)訪問這些信息”。

此外，Cox必須采取“一切合理的預(yù)防措施”來(lái)保護(hù)其客戶的數(shù)據(jù)。另外，法律要求運(yùn)營(yíng)商通過(guò)FCC的報(bào)道門戶網(wǎng)站及時(shí)披露CPNI違規(guī)后七個(gè)營(yíng)業(yè)日的相關(guān)信息，以方便聯(lián)邦調(diào)查局和美國(guó)特勤局的調(diào)查。

根據(jù)FCC的聲明，除了支付$ 596,000罰款，考克斯必須通知客戶其數(shù)據(jù)被曝光，提供一年的信貸監(jiān)控，并“采取全面的合規(guī)計(jì)劃”以防止未來(lái)的漏洞。

Cox被要求進(jìn)行年度安全審計(jì)和系統(tǒng)滲透測(cè)試以及建立內(nèi)部威脅監(jiān)控和新的違約通知程序。執(zhí)法局將直接監(jiān)控Cox在未來(lái)七年中的努力。

小編結(jié)語(yǔ)

看起來(lái)Cox被迫做那些他們本該做到的事。此外，罰款似乎也很巨額，但是單純從投資回報(bào)率的角度來(lái)看，罰款可能不足以阻止悲劇重現(xiàn)。 我們想要大公司花很多錢規(guī)避風(fēng)險(xiǎn)，但其實(shí)媒體曝光的可能性很少，公司知道這并不利于他們盈利。