時間:2019-04-15 來源:互聯網 瀏覽量:
今年早些時候,黑客攻擊了微軟客戶支持門戶網站,並獲得使用微軟Outlook服務注冊的一些電子郵件賬戶的訪問權限。他們不僅可以訪問客戶賬戶的信息,而且還包括與之通信的人。
微軟通知其部分用戶存在安全漏洞,並通過電子郵件確認:黑客在2019年1月至2019年3月28日期間訪問了其Outlook賬戶的信息,包括使用Outlook和Hotmail的用戶。
據外媒披露,一些Reddit用戶確認收到微軟數據泄露通知郵件,其中一人還發布了該郵件的圖片。
在周末確認黑客攻擊時,微軟聲稱攻擊者訪問了受影響用戶的電子郵件地址、文件夾名稱、電子郵件主題行以及用戶與之通信的其他電子郵件地址名稱。
微軟承認,黑客已經獲得了一些客戶電子郵件的內容,約占受影響人數的6%。據悉,由於被破壞的客戶服務賬戶的訪問級別有限,隻有消費者賬戶受到影響,而不是付費企業賬戶。
在給受影響用戶的電子郵件中,微軟指出它“對此問題造成的任何不便感到遺憾,”並且應該“微軟應該非常重視數據保護,並讓其內部安全和隱私團隊參與調查和解決問題。”
目前,微軟並未提供有關黑客破壞員工賬戶方式的其他詳細信息,包括受影響賬戶的數量。
微軟在郵件中表示:“我們通過禁用受到破壞的憑據,並阻止肇事者的訪問來解決這個影響有限的消費者賬戶的計劃。”
微軟還建議所有用戶,甚至包括不是受影響的用戶重置其微軟賬戶的密碼作為預防措施。
雖然對微軟來說,數據泄露是一個問題,但更大的挑戰可能是歐盟的參與。眾所周知,在沒有提供受影響人數的情況下,其中至少有些人在歐盟,這意味著數據泄露將屬於歐盟《GDPR》(一般數據保護條例)。
因為《GDPR》規定:GDPR不僅適用於位於歐盟境內的企業組織機構,也適用於位於歐盟以外的企業組織機構,無論機構所在地位於哪裏,隻要其向歐盟數據主體提供產品、服務或者監控相關行為,或處理和持有居住在歐盟境內的數據主體的個人數據,都將受到GDPR法案的監管。
說人話就是,一個歐盟公民不管在內,你隻要存儲其數據,你的公司或企業就適用於《GDPR》。
因此,歐盟可能會調查微軟是否遵守該規定,以及是否盡力防止黑客入侵。如果微軟沒遵守規定,那麼可能會遭遇重罰。
《GDPR》規定,對於一般性的違法,罰款上限是1000萬歐元,或者在承諾的情況下,最高為上一個財政年度全球全年營業收入的2%(兩者中取數額大者);
對於嚴重的違法,罰款上限是2000萬歐元,或者在承諾的情況下,最高為上一個財政年度全球全年營業收入的4%(兩者中取數額大者)。
附:郵件截圖
