三正科技（山东）有限公司

浅析大众和麦当劳客户信息数据遭泄露事件

发布时间: 2021-07-08 浏览次数:

近日，大众和麦当劳先后曝出其客户信息数据遭泄露，这再一次引起了公众对个人信息安全的担忧。

一、大众汽车330万客户信息遭泄露

据美国有线电视新闻网（CNN）6月11日报道，大众汽车及其旗下汽车品牌奥迪的330万名客户的信息数据遭泄露。发生泄露的原因是一家供应商在2019年8月至2021年5月期间将客户数据“未经保护”地留在互联网上。大众汽车及其子公司奥迪以及位于美国和加拿大的官方经销商都使用这个供应商的服务。

据悉，在2014年到2019年期间，该供应商通过销售和市场营销获得了大量美国和加拿大的客户信息数据，包括310万美国奥迪客户、16.3万加拿大奥迪客户和3300名美国大众品牌客户的客户信息。此次被泄露的客户信息主要包括姓名、邮件地址、电话号码和车牌号。与此同时，还有9万名美国和加拿大客户的敏感信息被泄露，其中包括驾驶执照号码，社会保障号码、大众或奥迪网站帐号和出生日期等。

对此大众公司表示，已与敏感信息遭到泄露的9万名客户取得联系，并为其提供免费的信用保护。大众美国公司还发表声明道歉，建议所有客户对可疑电子邮件或其他可能要求他们提供有关自己或车辆信息的信息保持警惕。

二、麦当劳部分客户信息遭黑客窃取

据美国媒体当地时间6月11日报道，美国知名快餐品牌麦当劳发布声明称遭到黑客攻击，造成其在美国、韩国和中国台湾地区的少量数据泄露。麦当劳表示，该公司在一周前发现内部安全系统中出现未经授权的活动，于是聘请了第三方顾问展开调查并及时切断了连接。根据调查，此次泄露涉及的文件数量很少。在美国地区，被窃取的信息包括美国员工和加盟商的一些业务联系信息，以及座位容量、游乐区面积等餐厅信息，没有客户信息被泄露。不过，在韩国和中国台湾地区，少量外卖客户的电子邮件、电话号码和地址，以及部分员工信息遭到泄露。声明中未透露受影响的人数，并称泄露文件中不包含客户的付款信息。

对此，麦当劳表示已向亚洲监管机构通报了违规情况，并联系数据泄露涉及的客户和员工建议他们警惕钓鱼攻击，该公司将在未来几天内采取更多措施加强其他地区市场的信息安全。

三、两起数据泄漏事件对比分析

虽然两起事件都涉及到客户信息数据泄露，但从事件的起因、性质、处置时效性以及信息数据泄露规模上存在差异。

（一）数据泄露的原因性质不同

据IBM《2020年数据泄露成本报告》称，数据泄露的根本原因主要有三种：其一，系统故障（因IT和业务流程故障导致的数据泄露）；其二，人为失误（玩忽职守的员工或承包商无意中导致的数据泄露）；其三，恶意攻击（由黑客或者企业内部人士导致的）。从大众和麦当劳此次数据泄露事件整个过程来看，数据泄露的原因是不同的。

大众泄密事件：数据泄露的起因在于该供应商的某套在线系统存在安全配置错误导致客户数据“未经保护”地留在网上，应该属于上述三种原因的第二种，人为失误造成的数据泄露。

麦当劳泄密事件：数据泄露事件则很明显属于第三种，恶意攻击也就是黑客攻击造成的数据泄露。

（二）发现数据泄漏后的处置措施略有不同

虽然事件发生后，两家企业都采取了危机公关，与遭受数据泄露的客户和员工取得联系道歉，并提醒其提高警惕。但两家公司在发现数据泄露后的处置时效上存在巨大差异。

大众泄密事件：大众汽车公司于今年3月10日就发现了数据泄露问题，但相关供应商未能及时解决，直到2个月后问题才得到彻底解决。

麦当劳泄密事件：麦当劳公司在事件曝光一周前发现内部安全系统中出现未经授权的活动后，立即聘请了第三方顾问展开调查并及时切断了黑客对数据的访问。

（三）数据泄露的规模不同

大众泄密事件：330万名客户的信息数据遭泄露，其中还包括9万多名客户的敏感信息遭到泄露。

麦当劳泄密事件：得益于近年来麦当劳对网络安全防御的投资，此次泄露涉及客户信息的文件数量很少，仅有韩国和中国台湾地区少量外卖客户的电子邮件、电话号码和地址，以及部分员工信息遭到泄露。

四、数据泄露可能给涉事企业造成的影响

虽然截止目前这两起数据泄露事件均未受到勒索，也未曝出因数据泄露造成的进一步损失，但无论是何种原因造成的客户数据泄露，大众和麦当劳作为全球知名企业，出现数据泄露事件都会给企业带来一定的负面影响。

（一）企业公信力受损

当企业发生数据泄露时，公众会对企业产生不信任感，这种不信任感会影响公众的选择，因此，数据泄密事故可能会令企业失去一批客户，包括潜在客户。这也就是为什么事件一旦曝光，涉事公司立即采取措施进行危机公关的原因。

（二）企业经济利益受损

一方面，数据本身就是企业财产的一部分，当数据泄露，可能会遭到黑客勒索，同时对企业的竞争力会产生威胁，间接提高了成本、减少了收益。另一方面，因企业公信力受损可能会导致企业股价下跌、用户流失，这都将对企业经济利益产生直接影响。

（三）可能面临诉讼等法律指控

数据一旦发生泄露，必定会出现受害者，受害者可能是数据来源者本身，也可能是企业的客户或遭受数据泄露影响的其他合作者。这些受害者可能会利用法律武器对涉事企业提起诉讼，要求赔偿。

2017年9月，美国征信巨头EquiFax发生了大规模的数据泄露事件，导致超过1.4亿美国居民个人隐私信息泄露，其中包括社会保障号码、支付卡详细信息等。最终，EquiFax公司与美国政府达成协议，愿意支付约6.5亿美元用于赔偿。

（四）企业内部容易产生不和谐因素

有的数据泄露是黑客攻击造成的，有的则是内部管理不善造成的，后者更容易让员工对企业产生不信任感，继而影响企业整体的团结。

世界500强公司之一的英国第四大连锁超市莫里森（Morrisons）曾发生一起泄漏事故——10万名员工的工资细节、住址、银行账户等被内部审计员盗取并泄露贩卖，不仅审计员入狱，莫里森超市也因此被5千多名员工集体告上法庭，要求企业为此负责并赔偿。

（五）容易引发高层震荡

一场数据泄露背后必然有企业内部的各种问题，而当企业发生严重的数据泄露时，通常会有高管为此承担责任甚至被下台。

2016年10月，Uber遭到黑客攻击导致大规模的数据泄露，泄露数据包括5700万司机和乘客的信息，而这件事则被当时的首席安全官乔·沙利文(Joe Sullivan)以向黑客付款10万美元破财消灾的方式压制了下去。事件曝光后，首席安全官乔·沙利文被罢免。

五、结语

随着数字化进程加深，数据的价值越发凸显，面临的安全威胁日益突出，譬如黑客对政府或企业网站的攻击、金融数据被不法分子窃取、个人敏感信息大规模泄露等。无论是对于政府、企业，还是个人来说，数据信息的保护都极为重要。数据泄露将使政府或企业的文件和信息面临风险，而对于客户来说，则存在着不可预料的安全风险。

一直以来，我国非常重视数据安全工作。2021年6月10日，经十三届全国人大常委会第二十九次会议审议通过了《数据安全法》。这部法律是数据领域的基础性法律，也是国家安全领域的一部重要法律，将于2021年9月1日起施行。《数据安全法》的正式发布，标志着我国在数据安全领域有法可依，为各行业数据安全提供监督依据，为个人信息安全保驾护航。

（资料来源：搜狐网、央视财经、新浪财经等相关文章）

上一篇: 美澳联合发起“特洛伊盾牌”行动

下一篇: 日本网络部队面临经费和法律两大掣肘因素