保护消费者个人信息
企业确保数据安全的技巧
来自纽约总检察长的消息
在当今的数字时代,纽约人的大量个人信息都存储在网上,而公司往往没有采取必要的措施来保护这些信息。 去年,纽约州总检察长詹乐霞办公室(OAG)收到了 4,000 份数据泄露通知,我们被告知消费者的个人信息可能已被泄露。 我们审查了每一条通知,展开了数十项调查,并对未能采取合理保护措施保护客户信息或正确告知客户事件的公司处以数百万美元的罚款。
企业可以而且必须更好地保护纽约人的数字数据。 纽约人不必担心他们的信息在下次网上购物、预订旅行、报名参加课程或浏览互联网时落入坏人之手。 如果组织采取相对简单的步骤来保护他们的系统,我们就可以扭转数据泄露的趋势。
本指南1旨在帮助公司加强数据安全并保护纽约人的数字数据。 我们知道大多数企业都想做正确的事情,我们也希望分享我们在网络安全漏洞调查和起诉企业的经验中所学到的知识。 我们还想提醒各公司,他们必须认真对待其数据安全义务,并至少采取本报告中概述的合理措施。
我希望本报告中提供的建议能够帮助各组织加强在线安全,保障纽约人的安全。 通过与行业领袖、专家、消费者权益倡导者和监管机构协调,纽约将继续致力于为每个纽约人创造更强大、更安全的技术未来
此致,
Letitia James
纽约总检察长
OAG 数据安全建议
根据纽约法律,企业必须采取合理的保护措施来保护纽约人的个人信息。 当发现企业未能做到这一点时,OAG 将进行调查,并在适当的情况下采取行动。 本报告重点介绍了 OAG 最近几项调查的结果,并提供了直接的指导,可帮助企业加强其数据安全计划并更好地保护消费者信息。
维护安全身份验证的控制
如果您的企业存储客户信息,强大的身份验证程序可以帮助确保只有授权个人才能访问数据。 贵公司的政策和程序应该:
使用安全的身份验证方法
对于许多受密码保护的系统来说,网络犯罪分子可能只需窃取密码即可获取机密和敏感信息。 不幸的是,网络犯罪分子已经开发出无数种方法来获取密码。 因此,在许多情况下,基于密码的身份验证本身并不是验证用户身份的安全机制。 企业应该使用更安全的替代方法,例如多因素身份验证,尤其是对于管理或远程访问帐户。 重要的是,这适用于内部员工账户以及客户账户。
OAG 调查的最近两起网络攻击表明仅使用密码进行身份验证的风险。 2022 年,在攻击者获取了包含敏感客户数据的公司电子邮件帐户的访问权限后,我们宣布与 EyeMed 达成和解。 EyeMed 未能要求在登录时进行多因素身份验证,这可能阻止攻击者访问该帐户的尝试。 此次入侵使攻击者可以访问六年前的电子邮件和附件,其中包括消费者的姓名、地址、社会保险号和保险账号。
同样,在 2022 年,在攻击者未经授权访问嘉年华员工电子邮件帐户后,我们宣布与嘉年华邮轮达成和解。 此次泄密事件暴露了敏感的客户和员工信息,包括护照号码、驾照号码、支付卡信息、健康信息和社会保障号码。 请注意,在这些情况下,消费者通知尤其困难,因为企业无法了解多年来存储在电子邮件中的数据,从而导致数月的延迟。
要求使用较长且安全的密码
由于难以记住多个密码,人们倾向于使用容易记住的密码并反复使用它们。 也许并不奇怪,最常见的密码是:password。 第二个最常见的:123456。 请记住,每个额外的字符都会使密码更难破解。 而添加符号和数字则使得事情变得更加困难。 如果一台计算机可以在一秒钟内破解六个字符的密码,那么破解十二个字符的密码则需要两百万年以上。2 嘉年华邮轮的入侵行为可能涉及一种被称为暴力攻击的自动密码猜测技术。
此外,除了施加密码复杂性要求(这可能导致用户简单地在容易猜到的密码末尾添加数字或特殊字符(如Password1或Password!))之外,企业还应考虑将用户选择的密码与被泄露的密码数据库进行比较,并禁止使用特定于上下文的密码,例如用户/公司的名称或出生日期。
保护密码免遭攻击
保护密码免遭攻击至关重要。 在大多数情况下,这需要“散列”,即将密码转换为一串字母和/或数字的过程,以便密码落入坏人之手时无法被读取或使用。 企业应该使用不易受到密码破解攻击的散列方法。 这通常需要选择适当的散列算法,以及使用额外的随机字符(有时称为“盐”)。
我们的办公室已多次对未能保护客户密码的企业采取行动。 例如,OAG 最近与 Wegmans 达成和解,此前一项调查发现该公司对一些客户密码使用了过时的哈希方法,包括一种很容易被破坏的哈希算法。
加密敏感客户信息
随着网络威胁不断演变,没有任何保护措施能够 100% 有效。 这就是为什么企业不仅要防御未经授权的访问,而且还要在防御失败时实施控制至关重要。 对于大多数处理敏感客户信息的企业来说,这些控制应该包括加密,即对信息进行扰乱的过程,只有使用密钥(称为解密密钥)才能逆转信息。
在我们最近的 CafePress 案例中,我们发现一个流行的在线市场未能安全加密买家和卖家的信息,包括与超过 180,000 个卖家账户相关的社会安全号码和税务识别号码,这些信息都以纯文本形式保存。 一名网络犯罪分子获得了该公司系统的访问权限,窃取了这些信息,并最终将其在暗网上出售。 如果信息被加密,即使在网络犯罪分子手中也会受到保护。
确保服务提供商使用合理的安全措施
将客户信息委托给服务提供商的企业有责任确保服务提供商使用适当的安全措施来保护这些信息。 如果不这样做,客户信息可能会面临风险。 2022 年,我们与 T-Mobile 达成和解,因为在一次入侵事件中,未经授权的行为者获取了其供应商网络上存储的客户信息。 所访问的信息包括姓名、地址、出生日期、社会安全号码、身份证号码(如驾照和护照号码)以及 T-Mobile 自身信用评估中使用的相关信息。
在与 OAG 达成的和解协议中,T-Mobile 同意详细的供应商管理条款,旨在加强其未来的供应商监督。 这些包括维护 T-Mobile 供应商合同库存,包括根据供应商收到或维护的信息的性质和类型进行供应商风险评级;对 T-Mobile 的供应商和分包商施加合同数据安全要求;建立供应商评估和监控机制;以及针对供应商不合规行为采取适当行动,包括终止合同。
依赖服务提供商的企业应采取合理措施确保其提供商实施适当的安全措施,包括本报告中所述的措施。 在大多数情况下,这包括认真选择具有适当数据安全计划的服务提供商、在与服务提供商的合同中建立安全期望以及监控服务提供商的工作以确保合规性。
了解您保存消费者信息的位置
如果企业不知道客户信息保存在何处,就无法妥善保护客户信息。 我们的韦格曼斯案例凸显了丢失客户数据的危险。 在该事件中,一名安全研究人员发现该公司的一个云存储容器被配置为允许公众访问其内容,随后联系了这家杂货零售商。 该容器内含有包含三百多万客户信息的数据库备份文件。 当安全研究人员联系该公司时,该公司的安全人员并不知道旧的备份文件甚至存储在该位置。
如果公司保留了包含客户信息的资产清单,就可以完全避免这一事件。 通过资产清单,它就会知道那些云容器中含有载有客户信息的文件,因此可以进行适当的安全测试,这可能更快地发现错误配置。
随着人员流动和实践的不断变化,维护一份资产清单来追踪个人信息的保存位置以确保其得到适当的保护至关重要。 维护资产清单的安全也非常重要。
防范 Web 应用程序中的数据泄露
未经适当身份验证,绝不应通过网站或应用程序泄露敏感信息。 在很多情况下,根本没有必要或者不适合披露此类信息。 相反,敏感信息通常应该被屏蔽,例如只发送信用卡号的最后四位数字。 企业应该审核其网络应用程序,以确保敏感数据仅在适当的时候以未屏蔽的形式传输。
保护受数据安全事件影响的客户帐户
成功的网络攻击不仅可以让攻击者访问客户信息,在某些情况下,还可以让攻击者访问客户的在线帐户。 当攻击者危及客户账户安全时(例如,窃取客户登录凭证或侵入账户),企业应该采取措施保护账户安全,防止客户受到进一步伤害。
我们最近对一家未能保护在数据安全事件中受到影响的客户账户的企业采取了行动。 2018 年,攻击者入侵了 Zoetop 的系统并窃取了各种客户信息,包括数千万个 SHEIN 客户账户的登录凭据。 然而,对于绝大多数此类账户,Zoetop 未能采取任何措施保护其客户,例如重置账户密码或警告客户他们的账户存在风险。 经过调查,OAG 达成了和解,要求该公司采取加强的事件响应政策。
当客户登录凭证或帐户已被泄露或很可能已被泄露时,企业应该采取几个措施。 首先,它应该迅速采取行动,阻止攻击者访问账户。 在大多数情况下,这需要立即重置可能受到攻击影响的帐户的密码。 在某些情况下,采取额外措施也可能是适当的,例如冻结相关账户。 其次,在大多数情况下,企业应该迅速通知受影响的客户。 通知使客户能够采取措施保护自己,例如检查他们的在线账户或财务报表是否存在欺诈,并保护使用相同泄露登录凭据的其他在线账户。
删除或禁用不必要的帐户
旧的、未使用的账户(有时称为孤立账户)是攻击者试图访问受保护系统的首选。 这些账户通常不受监控,并且经常使用多年不变的凭证。 在最近由学校供应商报告的一次入侵事件中,攻击者能够使用前雇员的访问密钥访问公司系统。 尽管该员工在攻击发生前几年就已离开公司,但账户和访问密钥仍保持不变,因为公司没有剔除不活跃的账户,也没有要求更新凭证。
当员工离职或供应商合作结束时,企业应该有适当的流程来删除或禁用可以访问敏感信息的帐户。 大多数企业还应定期审计账户,以找出那些长期处于不活动状态的账户。
防范自动攻击
凭证填充仍然是针对客户账户的最常见攻击形式之一。 此类攻击通常涉及使用从其他在线服务窃取的用户名和密码反复尝试登录在线帐户。 网络犯罪分子经常使用自动化软件或“机器人”,它们能够在无需手动输入的情况下同时循环数百次登录尝试。 一旦网络犯罪分子成功登录帐户,他们可能能够使用保存在帐户中的信用卡进行购买、窃取保存在帐户中的礼品卡、在网络钓鱼攻击中使用保存在帐户中的客户数据或在暗网上出售登录凭据。
由于某公司未能对成功的凭证填充攻击做出适当反应,我们办公室还采取了行动。 在最近针对 Dunkin' Donuts 的诉讼中,我们指控数以万计的 Dunkin' 客户账户在一系列在线攻击中遭到泄露。 尽管 Dunkin' 意识到了这些攻击,但该公司未能采取任何措施保护其已知账户已被泄露的客户,例如将攻击情况通知受影响的客户、重置账户密码以防止进一步的未经授权的访问,或冻结在客户账户上注册的储值卡。
对于许多企业来说,凭证填充攻击是不可避免的。 这就是为什么为客户维护在线账户的企业应该制定数据安全计划,其中包括有效的保护措施,以保护客户免受凭证填充攻击。 2022 年 1 月,我们发布了《凭证填充攻击业务指南》,其中详细说明了应维护安全措施的四个领域,以及已被证明有效的具体安全措施。
向消费者提供清晰、准确的通知
当消费者信息落入攻击者手中时,通知可以让消费者采取措施保护自己。 这就是为什么企业向消费者提供及时、准确的通知至关重要。 当企业发布误导性声明以淡化攻击的范围或严重性时,可能会给消费者一种虚假的安全感。 这也可能违反纽约法律。
我们最近采取了行动,要求一家公司对袭击后发表的误导性言论负责。 如上所述,2018 年,攻击者入侵了 Zoetop 的系统并窃取了各种客户信息。 Zoetop 首先从其支付处理商处获悉了此次攻击,该处理商写道,其掌握的信息“表明 [Zoetop] 的系统已被入侵,[信用卡] 数据已被窃取”。 然而,在此次泄密事件发生后的公开声明中,Zoetop 错误地写道,没有证据显示其系统中的信用卡信息被窃取。 Zoetop 还公开虚假表示,它正在通知在此次攻击中受到影响的客户。 事实上,Zoetop 未能通知绝大多数登录信息被盗的客户。
通知是事件响应的一个重要方面。 企业应注意及时发出通知,并清晰准确地传达有关攻击的重要信息。
结论
纽约为自己能够成为全国创新和进步的领导者而感到自豪。 我们擅长创造能够改善生活的激动人心的新技术,但我们必须确保消费者能够安全、负责地驾驭数字世界。 随着网络犯罪分子的技术和策略不断改进,我们阻止他们的努力也必须不断加强。 组织可以采取相对简单的步骤来保护其系统,并减少或消除数据泄露。 本指南应能帮助各组织加强其数据安全计划,以便为纽约人提供全国最好的数据安全。
1本报告仅供参考,不应被视为法律声明、法律建议或纽约州的政策。 文件可以复制,但前提是:(1)复制文本的含义不得改变或歪曲;(2)注明来源为纽约总检察长;(3)所有副本均免费分发。
2 Jean-Paul Delahaye,《黑客的数学》,《科学美国人》,2019 年 4 月 12 日, https://www.scientificamerican.com/article/the-mathematics-of-hacking-passwords (最后访问于 2023 年 3 月 4 日)