意大利全球银行和金融服务巨头UniCredit宣布其网络安全团队发现一起“数据事件”,该事件导致其300万客户的个人数据遭到泄露。
UniCredit成立于1870年,是意大利最大的银行和金融服务商,也是欧洲领先的商业银行之一,在17个国家地区拥有8500多家分支机构。
尽管UniCredit并未透露此次数据事件的相关细节,但该银行承认,一个不知名的黑客已经破坏了2015年创建的一个文件,该文件存储着意大利客户的300万条数据记录。
其中,泄露的客户数据包括:
名字
城市
电话号码
电子邮件地址
然而,万幸的是,Unicredit确认,泄露的用户数据中没有包含客户帐户或未经授权交易的个人数据或银行的详细信息,黑客无法访问这些关键性信息。
事件一发生,Unicredit立即展开了内部调查,并核实数据泄露的程度,通知有关当局、执法部门,甚至还开始通过在线银行或者邮件联系所有可能受影响的客户。该银行还表示,已经设置了额外的安全控制措施,来提升其客户数据的安全性。
“客户数据安全,是UniCredit的首要任务。自2016年发起网络安全投资“Transform 2019”之后,UniCredit先后投入总计24亿欧元来加强IT系统和网络安全。在2019年6月,对于Web和移动服务、付款交易的访问,UniCredit实施了一种新的强身份验证(双因素身份验证)流程,此新流程需要一次性密码或生物识别认证,进一步巩固安全和加强客户数据保护能力。”
后续数据遭泄露的客户应该注意网络钓鱼电子邮件。网络罪犯手中会携带个人识别信息(PII),试图诱骗用户提供进一步的详细信息,例如密码和银行信息。
尽管泄露的数据不包含任何银行或财务数据,但用户应警惕并密切注意银行和支付卡的任何异常活动,一旦发现异常立即向银行报告。
这已经不是UniCredit首次发生数据泄露事件了。在2017年,该银行曾披露了两次类似的数据泄露事件。一次发生在2016年9月至10月之间,另一次发生在2017年6月至7月之间,影响了近40万名意大利客户。该银行当时表示,这些黑客是通过商业伙伴的网络进行的。
KnowBe4的技术推广员Jelle Wieringa 认为,“对于此次UniCredit数据泄露事件的具体细节还不明朗。但是,即使在这个事件发生的早期阶段,依然要从中吸取教训。在GDPR下,数据文件被盗,大多数数据仍然有效,因此它被视为数据泄露。人们往往会随着时间的流逝而忘记数据的价值,特别是如果每天都面对大量数据,信息疲劳确实很容易发生。”
ZeroFOX的最新《金融服务数字威胁报告》显示,今年针对金融服务部门的数字威胁活动增长了56%。在过去一年中,针对系统和信息开发威胁增长了26%。攻击者越来越善于破坏系统,社交媒体也越来越成为传播渠道。他们还公然通过各种途径出售所盗取的数据。恶意域名居攻击技术榜首,高达57%。
*参考来源:thehackernews&threatpost,Sandra1432编译,转载请注明来自FreeBuf.COM