今年早些时候,黑客攻击了微软客户支持门户网站,并获得使用微软Outlook服务注册的一些电子邮件账户的访问权限。他们不仅可以访问客户账户的信息,而且还包括与之通信的人。
微软通知其部分用户存在安全漏洞,并通过电子邮件确认:黑客在2019年1月至2019年3月28日期间访问了其Outlook账户的信息,包括使用Outlook和Hotmail的用户。
据外媒披露,一些Reddit用户确认收到微软数据泄露通知邮件,其中一人还发布了该邮件的图片。
在周末确认黑客攻击时,微软声称攻击者访问了受影响用户的电子邮件地址、文件夹名称、电子邮件主题行以及用户与之通信的其他电子邮件地址名称。
微软承认,黑客已经获得了一些客户电子邮件的内容,约占受影响人数的6%。据悉,由于被破坏的客户服务账户的访问级别有限,只有消费者账户受到影响,而不是付费企业账户。
在给受影响用户的电子邮件中,微软指出它“对此问题造成的任何不便感到遗憾,”并且应该“微软应该非常重视数据保护,并让其内部安全和隐私团队参与调查和解决问题。”
目前,微软并未提供有关黑客破坏员工账户方式的其他详细信息,包括受影响账户的数量。
微软在邮件中表示:“我们通过禁用受到破坏的凭据,并阻止肇事者的访问来解决这个影响有限的消费者账户的计划。”
微软还建议所有用户,甚至包括不是受影响的用户重置其微软账户的密码作为预防措施。
虽然对微软来说,数据泄露是一个问题,但更大的挑战可能是欧盟的参与。众所周知,在没有提供受影响人数的情况下,其中至少有些人在欧盟,这意味着数据泄露将属于欧盟《GDPR》(一般数据保护条例)。
因为《GDPR》规定:GDPR不仅适用于位于欧盟境内的企业组织机构,也适用于位于欧盟以外的企业组织机构,无论机构所在地位于哪里,只要其向欧盟数据主体提供产品、服务或者监控相关行为,或处理和持有居住在欧盟境内的数据主体的个人数据,都将受到GDPR法案的监管。
说人话就是,一个欧盟公民不管在内,你只要存储其数据,你的公司或企业就适用于《GDPR》。
因此,欧盟可能会调查微软是否遵守该规定,以及是否尽力防止黑客入侵。如果微软没遵守规定,那么可能会遭遇重罚。
《GDPR》规定,对于一般性的违法,罚款上限是1000万欧元,或者在承诺的情况下,最高为上一个财政年度全球全年营业收入的2%(两者中取数额大者);
对于严重的违法,罚款上限是2000万欧元,或者在承诺的情况下,最高为上一个财政年度全球全年营业收入的4%(两者中取数额大者)。
附:邮件截图
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)