勒索攻击下被泄露,受害者及时的知情权似乎正在被剥夺。达美乐(Domino's)在致客户的邮件中称:公司于2021年3月24日发生信息安全事件,相关系统遭到黑客攻击。我们迅速采取行动遏制违规行为,并聘请外部机构进行影响评估。虽然达美乐没有具体说明哪些数据遭到泄露,但它重申没有与客户财务信息相关的数据遭到泄露。因为公司一开始就不会存储用户的详细财务信息,例如完整的信用卡号、CVV、密码等。达美乐已向有关当局报告了这一事件,向网络犯罪小组提出投诉,并聘请了一家全球取证机构调查安全问题。有趣的是,达美乐在3月24日发生攻击后才开始通知客户,而相关数据已于4月在暗网上出售。这一次主要受到影响的是来自印度的1.8亿客户。泄露的数据包括电子邮件地址、手机号码和客户经纬度信息。黑客表示,付款细节和员工档案将很快公开。回顾近期的多起勒索攻击事件,我们可以发现不同公司的不同回应:1、是否支付赎金目前国际上更多的声音是:建议不要支付赎金,否则会进一步助长勒索团伙的嚣张气焰和高额赎金将激励更多恶意行为者加入勒索软件服务。但以Colonial赎金事件为例,由于基础设施遭到勒索,巨大的潜在威胁和破坏力使得ColonialPipeline在5月7日向Darkside支付了近500万美元的赎金,因此受害者的利益余额已经导致是否支付赎金的摇摆不定。2.多久通知受影响的用户?勒索软件攻击往往伴随着数据泄露,泄露的数据一般发布在勒索软件运营商的专用网站上,或者在暗网上批量出售。敏感信息的泄露会给受影响的用户带来可能的攻击风险。用户能有知情权吗?他们能否有及时的知情权?目前,大多数遭受勒索攻击的企业都会选择“内部处理”,从发现网络攻击到通知用户的过程需要30-60天,甚至一些客户无法获得相关信息。根据PaloAltoNetworks的数据,2020年的平均赎金支付金额为312,493美元,比上一年增长了171%。肯定有许多未公开的勒索攻击或隐瞒支付赎金的公司。随着敲诈勒索的盛行,国家层面对敲诈勒索犯罪的打击仍在继续。同时,企业也要做好客户信息安全的“事前”安全防护和“事后”及时通报。
