Latitude Financial 的现任和前任客户对公司缺乏沟通感到沮丧,并质疑其数据保留做法,因为这家非银行贷方确认其数百万客户的个人记录可追溯到 2005 年本月早些时候在一次网络攻击中被盗。
Latitude Financial 于 3 月 16 日披露,超过 330,000 条个人记录因网络攻击而受到影响,但几天后该公司警告称,漏洞可能会扩大。
在周一向澳交所发布的一份声明中,Latitude Financial 证实,有 790 万份澳大利亚和新西兰驾照、53,000 个护照号码和不到 100 份月度财务报表遭到在攻击中被盗。
Latitude 还证实,在 2013 年之前提供的 610 万条客户记录在黑客攻击中遭到破坏,其中一些可追溯到 2005 年。
它使Latitude Financial 网络攻击是澳大利亚金融机构已知最大的数据泄露事件,尽管该公司并未确切说明有多少人受到此次事件的影响。
但缺乏过去和现在的客户都对 Latitude 感到愤怒和沮丧。
Glenn Johnston 就是这样一位卷入数据泄露事件的客户。
p>他在 10 多年前首次成为 Latitude Financial 的客户,当时该公司为 GE Capital 所有。
在 GE Money 品牌下,Johnston 先生使用其“先买后付”服务购买家具和电子产品。
在 GE Capital 在 2015 年出售其业务后,他的数据被转移到 Latitude Financial 成立时澳大利亚和新西兰加入了由德意志银行、KKR 和 Varde Partners 牵头的财团。
Johnston 先生说他有仅从 Latitude 收到了有关其数据泄露的有限通信。
“除了非常普通的初始电子邮件外,我们没有收到任何其他消息。然后我们通过更多新闻报道了解到,现在客户数量已从 300,000 增加到数百万。
“但让我感到沮丧的是,我们已经发生了多次违规事件在过去的 12 个月里,你会认为公司会从中吸取教训,”他说。
“所以 Optus 和 Medibank,虽然最初他们跌跌撞撞,但他们设法建立了系统和流程以帮助受影响的客户。
“我们没有从 Latitude 那里得到任何东西。”
Amanda-Jo Birchall 是前客户GE Money and Latitude 的负责人,并分享了 Johnston 先生对公司没有就违规问题联系她感到沮丧。
我们对 Latitude Financial 黑客的了解
网络攻击对非银行机构的影响披露当前和以前客户详细信息的贷方 Latitude Financial 仍在继续。
她第一次注册2015 年左右使用 GE Money 信用卡支付去东京旅行的费用,并在还清债务后于 2019 年停止成为其客户。
Birchall 女士不幸卷入了另一起数据泄露事件发生在一家公司,她曾是她的前客户,但她表示沟通策略存在重大差异。
“我收到一封 [来自该公司的] 电子邮件,说发生了这种情况并且我们不太可能受到影响,”她说。
“但我根本没有收到 Latitude 的任何消息。”
Latitude Financial自那以后多次拒绝 ABC 的采访请求Latitude 的网络安全专家 Richard Buckland 教授说,大约两周前它首次宣布了网络攻击,而是通过 ASX 共享增量更新。
持续的沉默不是一个积极的迹象。
“无线电沉默不好,”巴克兰教授说。
“我怀疑他们”我们关心他们的声誉、股价和诉讼,而且他们都是真实的值得关注的合理事情。
“但我认为目前,当务之急确实应该是照顾受此影响的公民。”
< h2 class="YtLlr u5PGL r1bZO fMuGR fm7dv V2hL5 LS87j RDGP5 Z5947 _5pKBM HXgQg" data-component="Heading">300 万客户的 1400 万条记录除了因缺乏而感到沮丧关于 Latitude 的通信,Johnston 先生表示他也担心公司持有他的数据多年。
“为什么他们需要拥有超过 10 年的数据老的?”约翰斯顿先生说。
“我的客户身份可以追溯到 10 多年前,我猜它最初是在我不知情和未经许可的情况下转让的。
"我们刚刚通过出售 GE 资金转移到 Latitude。对于如何处理我的信息,我没有发言权。”
Birchall 女士还担心公司会保留她的数据,尽管她已经多年没有成为客户了。< /p>
“从记录来看,他们在 2016 年接管了我的信用卡公司,”她说。
所以从 2016 年开始,他们有了这些数据,我的这些信息。那是很长一段时间了。
“我已经有一段时间没有成为客户了,但他们的违规行为影响了很久以前的数据。
“这几乎就是我们盗窃身份所需的全部信息,不是吗?”
根据澳大利亚隐私原则 (APP),澳大利亚信息专员办公室使用的指南(OAIC),原则 11.2。指出“实体还必须采取合理措施销毁或取消识别他们持有的个人信息,一旦不再需要将其用于 APP 下可能使用或披露的任何目的”。< /p>
“如果个人信息包含在‘联邦记录’中,或者法律或法院/法庭命令要求实体保留个人信息,则此要求不适用。”
关于金融直觉数据保留的法律是模糊的,有几个因素在不同的司法管辖区和行业之间重叠。< /p>
ABC 并未表明 Latitude Financial 违反或违反了这一原则。
这是更换身份证件的方法
澳大利亚人的个人详细信息恐怕已被黑客。这是要做什么
但是 Rob Nicholls,新南威尔士大学监管和治理副教授表示,妥善销毁客户数据可能是一项代价高昂的工作,但如果不这样做,就会引发有关公司和数据治理的问题。
“我认为部分一个问题是,保留数据比正确清理数据成本更低,”他说。
“另一个问题是,有时来自销售团队的压力要求将数据作为前景来源。
“在 Latitude 的案例中,良好的公司治理和良好的数据治理应该提出一个问题。
“为什么我们当我们仅拥有 1400 万条记录时有 300 万客户?
“这个基本问题没有被问到,许多前客户和潜在客户的数据都被保留,这表明存在严重的治理缺陷。”
p>主要网络黑客之间的相似性
Buckland 教授说 Latitude Financial 的披露作为黑客网关的第三方系统与去年 Medibank 的网络攻击相似,后者影响了 970 万客户。
Optus 或 Medibank,专家说这一切都是为了钱
数百万澳大利亚人经历了糟糕的经历他们最近的个人资料。随着这一切的进行,你可能会感到奇怪黑客究竟对您的数据做了什么,以及它如何影响您?
“Medibank最近发布了一些关于他们如何被黑客攻击的信息,看起来这是一个凭证,一个通过第三方提供商被盗的内部Medibank凭证,” Buckland 教授说。
“这似乎与 Latitude 迄今为止表明它已被破坏的方式惊人地相似。”
在其在半年度报告中,Medibank 表示其网络攻击始于犯罪分子“使用第三方 IT 服务提供商使用的被盗 Medibank 用户名和密码”访问其系统。
Medibank 表示这随后被用于访问其网络,并允许犯罪分子获得额外的用户名和密码以访问多个 Medibank 系统。
Medibank 没有透露负责的第三方 IT 服务提供商是谁问题是,但向 ABC 证实他们仍在使用他们的服务。
相比之下,Latitude 告诉 ASX,攻击是从该公司使用的一家主要供应商发起的,ABC 认为这是一个后端基础设施提供商。
Latitude 表示,黑客随后获得了 Latitude 员工的登录详细信息,然后用于从 Latitude 的两家服务提供商处窃取客户记录。
Latitude 尚未阐明服务提供商的含义。
Buckland 教授表示,两次网络黑客之间的相似之处表明安全程序存在漏洞,需要紧急纠正。
“我认为我们看到的是他有一种模式表明,无论外部保证如何,公司都没有适当地保护他们的业务,即使在公开披露错误后果后,我们仍然看到同样的错误发生。
“所以看起来也许现在是政府干预的时候了。”
正在加载表格...澳洲中文论坛热点
- 悉尼部份城铁将封闭一年,华人区受影响!只能乘巴士(组图)
- 据《逐日电讯报》报导,从明年年中开始,因为从Bankstown和Sydenham的城铁将因Metro South West革新名目而
- 联邦政客们具有多少房产?
- 据本月早些时分报导,绿党副首领、参议员Mehreen Faruqi已获准在Port Macquarie联系其房产并建造三栋投资联