GE Money惨遭数据门 65万客户信息蒸发

kider

作者: cyw, 　出处:IT专家网,　责任编辑: 李书琴,　2008-01-24 09:30


    数据门事件再次震动业界，这次的倒霉蛋是通用电气公司旗下的消费者金融集团，公司承认丢失了一份电脑备份磁带，内含约230家零售商(包括著名的J.C. Penney，美国彭尼公司)650000名客户的资料。此次事件的另外一个主角则是为众多企业提供信息保护和存储管理服务的Iron Mountain公司，该公司在过去的几年，特别是2005年，曾因数起同类的数据保护不当及数据丢失事件而远近闻名。

　　事件回放

　　美国著名信用卡发行公司，通用电气公司旗下的个人金融业务部门——GE消费者金融集团在上周五承认，丢失了一盘电脑磁带，内含接受了该集团服务的约230家零售商(包括著名的J.C. Penney，美国彭尼公司)650000名客户的资料，还包含了150000人的社会安全号。

　　通用电气公司的发言人Richard Jones称，丢失的备份磁带存放在为众多企业提供信息保护和存储管理服务的Iron Mountain公司负责经营的存储设施当中。

　　Jones拒绝透漏其他可能会受到影响的零售商客户名单，只是承认其中有多个美国大型零售商和不少地区性的小型零售商。Jones表示正在给受到影响的客户，包括GE消费者金融集团旗下的部分员工发送邮件通知此次事故，并为那些社会安全号出现在丢失磁带上的人提供12个月的免费信用卡监控服务。

　　Iron Mountain公司在一份声明中称，早在去年十月在确认磁盘丢失后，Iron Mountain已经正式通知了GE消费者金融集团，同时还宣称没有证据显示该磁盘上的任何个人信息遭到盗取。Iron Mountain公司在声明中把此事归结为“忘记把磁带放在什么地方的不幸事件”，虽然这盘磁带没有进行加密，但公司坚信磁带的制造技术使任何不法分子，即使是具有专业知识和技术的专家级人物，都难以对其进行未经授权的访问。

　　Iron Mountain公司此前曾因一系列的数据保护不当事件而闻名，包括2005年时代华纳公司40张磁盘丢失事件以及同一年发生的数起磁带丢失事件、2006年加拿大和英国设施因管理不当失火造成的数据被烧事件，以及2007年路易斯安那数十万名大学生数据丢失事件。

　　历史重演

　　相信很多人对“数据门”事件频繁上演的2005年还记忆犹新。当时打头炮的是至今仍为民众诟病的美国数据公司ChoicePoint，2005年2月承认公司数据库保存的14.5万个重要客户数据在2004年底已经被黑客窃取，其中涉及大量个人敏感信息包括社会安全号和信用卡记录等资料。自此之后接连不断地传出数据丢失案，简直让人目不暇接，而且主角都是各行各业的大拿。2005年3月，世界著名数据库服务公司LexisNexis的数据库遭黑客攻击，丢失了31万的个人敏感资料;同月，美国银行向外公认，内含120万条信用卡帐户信息记录的电脑磁带神秘的人间蒸发，其中牵涉到90万名五角大楼的雇员，甚至包括几十名美国参议员;同月，时代华纳集团存有60万名公司在职和离职员工个人信息的40盘磁带在运输途中丢失。4月汇丰银行也传出客户的万事达信用卡遭窃的消息，迫使18万名用户不得不更换信用卡，其中还包括专用卡用户。5月瑞士银行日本分行丢失了内含机密交易、单据记录及敏感客户信息的电脑磁带。6月，花旗银行也遭遇的电脑磁带丢失的厄运，记录了390万客户银行帐号、交易信息等信息的电脑磁带在UPS运送途中丢失至今下落不明。

　　美国民间组织隐私权数据交换中心自2005年初臭名昭著的choicePoint数据外泄事件后，即对美国的资料安全状况展开了持续的跟踪调查。据保守估计，自1月起2005年有超过600多项违规操作被举报，造成了超过1.6亿个数据记录外泄，其中包括敏感的个人信息数据。而2006年和2007年的个人资料外泄事件继续攀新高。涉及的企业越来越广泛，涉及的数据类型也越来越多样化，可见敏感数据和机密数据所受到的威胁确实存在，而且有越演越烈的趋势，不仅仅是大公司，对很多小公司更是如此。

　　诱因和责任

　　对于持续不断出现的涉及到众多大公司的数据丢失事件，我们可以看到，每当企业承认数据丢失，涉案的企业，包括丢失数据的企业和导致丢失事件发生的企业，其发表的声明都是官话一套套，首先表达歉意，并保证此类事件不再发生;再来是安慰受伤害的民众，保证他们收到的风险“微乎其微”，并进行一定意义上的补偿;当然调查还是要继续，虽然最后都是不了了之。虽然在一些民意调查中，大部分公众都认为这些丢失数据的公司对事件发生的始末并没有向当事人解释清楚，但似乎他们并不想也不需要浪费时间去为这些事件感到难过悲伤，虽然他们声称要保证此类事件不再发生，但看看Iron Mountain公司就知道了，他们也就说说而已，不需要拿出具体的措施和办法。

　　有分析家认为并不是由于这些企业越来越不注意数据安全保护导致的事故频发，相信在2005年之前此类事件也不少发生，只是公众都被“蒙在鼓里”而已，在ChoicePoint被逼主动承认错误之后，很多大公司担心如果他们继续遮掩，到东窗事发的时候，会受到舆论、公众的指责。

　　也有分析家把这些数据安全问题归结为技术问题，只要我们继续使用可拆卸的介质(包括磁带、光盘、移动硬盘、USB设备等等)来存储数据，就一直会存在丢失数据的风险;只有在所有数据上都部署了各种加密和设置权限等技术才能稍稍缓和这一风险。不过业界专家认为，备份数据的加密保护不是一件简单的事，涉及到数据存储访问、备份方式、密钥管理等很多问题，这也是很多公司没有为备份数据加密的原因，包括本次事件的主角通用电气公司。在上述众多数据丢失的事件中，人为因素还是占据主导位置，人们在事后的分析总是发现其实有很多方法可以避免这类事情发生。大部分公司都面临着同样的问题，物资的管理和运输缺乏必要的监控和协调措施，管理人员不够重视等等。这些问题无法单纯的依靠技术来解决。

　　掌握着公众机密个人信息的企业应当负起相应的责任，不管是从技术上、管理上还是从道义出发。