行业新闻与博客

根据 GDPR 之前的数据保护制度，英国一家主要的街头零售商因存在缺陷而被处以最高罚款，该缺陷导致影响 1400 万顾客的违规行为。

根据 1998年《数据保护法》，隐私监管机构信息专员办公室（ICO）对 DSG Retail 处以 500,000 英镑罚款，原因是该公司在 5390 耕作机中安装了 POS 恶意软件。

该事件在 2017年7月至 2018年4月之间影响了 Currys PC World 和 Dixons Travel 商店，使黑客能够在 9 个月的时间内从内部服务器收集数据，包括客户名称，邮政编码，电子邮件地址和信用检查失败。

ICO 强调的“不良安全安排”包括无效的软件修补，缺少本地防火墙以及缺乏网络隔离和常规安全测试。

“我们的调查发现 DSG Retail Limited 保护个人数据的方式出现了系统性故障。ICO 的调查主管史蒂夫·埃克斯利（Steve Eckersley）表示，这些失败与基本的，普通的安全措施有关，这完全使他们无视了其个人信息被盗的客户。

“此案中的违法行为是如此严重，以至于我们根据先前的立法施加了最高刑罚，但根据 GDPR，罚款将不可避免地要高得多。”

Eckersley 声称，被盗的数据使客户面临后续身份欺诈和金融盗窃的巨大风险，到 2019年3月，近 3300 名客户就此漏洞与 ICO 联系。

但是，该零售商表示正在考虑上诉。

首席执行官 Alex Baldock 在一份声明中说：“当我们发现对数据的未授权访问时，我们立即进行了调查，增加了额外的安全措施，并遏制了该事件。”

“我们及时通知监管机构和警察，并与所有客户进行了沟通。我们没有确凿的证据表明任何客户因此遭受欺诈或财务损失。”

该集团的另一项业务 Carphone Warehouse 因类似的安全问题在 2018年被 ICO 罚款 40 万英镑。

本文由机器译制：https://www.infosecurity-magazine.com/news/dixons-carphone-receives-maxi-fine/