尽管 2022 年美国的数据泄露通知数量比 2021 年略有下降,但研究人员表示,潜在受害者的数量已显着增加。此外,更多的组织选择不报告已披露事件的具体细节。
根据身份盗窃资源中心 (ITRC)发布的年度数据泄露报告,美国组织致力于最大限度地降低风险并减轻身份泄露的影响,带有攻击和受害者详细信息的数据泄露通知占所有文件的 72% 2019 年,但去年下滑至 34%。这是五年来的最低点。
报告称:“换句话说,大约三分之二的公开违规通知中没有包括个人和企业在泄露后确定其身份信息风险所需的信息。”
LastPass 被挑出来
ITRC 指出,这很重要——如果到 2022 年报告的 1802 次数据泄露影响了大约 4.22 亿人,研究人员称之为潜在受害者。他们的数量同比增长了 41%。
此外,这种趋势简直令人担忧,其结果是“数据可靠性降低,削弱了个人、企业和政府官员就数据泄露风险做出明智决策的能力,以及在数据泄露后采取的行动, ”ITRC 首席执行官 Eva Velasquez 在报告中说。
换句话说,不直率的后果导致个人或企业在很大程度上无法保护自己免受数据泄露的有害影响。因此,身份欺诈的“骗局”仍在继续。
ITRC 特别点名 DoorDash、LastPass和三星发出违规通知,“在他们的国家规定的违规通知中,对发生的事情以及谁受到影响的细节有限或没有详细说明。”
2022年8月,攻击者通过内部账号访问了LastPass的开发环境、源代码和技术资料。仅仅三个月后,该公司透露,威胁行为者成功利用 8 月份获得的信息访问第三方基于云的存储服务并“复制客户保险库数据的备份”。
LastPass 于 2023 年初被起诉——诉讼称该公司对 8 月的数据泄露事件处理不当,低估了攻击的影响。
Twitter 在 ITRC 的 2022 年十大数据泄露名单中两次被提及——这两起事件全年影响了一半以上的潜在受害者。社交媒体通常只在几周后才对违规报告做出反应。
2022年数据泄露事件。由身份盗窃资源中心提供。
ITRC 表示:“数据泄露通知突然缺乏细节,导致个人和企业面临的风险增加,以及数据泄露和受害者的真实数量的不确定性。”
法律没有帮助
Velasquez 认为数据泄露通知缺乏细节,因为美国大多数州的通知法不充分:“他们中的大多数人将确定数据泄露风险的责任交给了受到损害的组织的个人或业务合作伙伴。”
许多公司有意识地决定隐瞒信息,这可能不足为奇。LastPass 是发布数据泄露通知的公司之一,但决定包含有限或不包含有关究竟发生了什么的详细信息。
但是,也提到了其他可能的原因。例如,位于美国不同地区的美国联邦法院最近发布裁决称,个人提出与数据泄露相关的损害索赔需要实际伤害,而不是潜在伤害。
“由于没有要求包括导致数据泄露的攻击的详细信息和受害者人数(大多数州法律没有包括在内),企业可能不再倾向于包括详细信息,因为担心会泄露可用于攻击的事实。对该公司提起诉讼,”ITRC 表示。
与欧盟的现状相比,美国的数字尤其糟糕。在美国,2022 年每个工作日平均发布 7 起违规通知,而在 2021 年(可获得数据的最后一年)期间,欧盟每天发布356 起违规通知。
在欧盟,数据保护、执法官员和受损组织共同确定个人或企业处于风险之中, ITRC 报告称,需要向受影响的各方发出全面通知。
美国唯一选择欧洲方式的州是俄勒冈州。但马里兰州和宾夕法尼亚州在过去一年也更新了他们的数据泄露法律。
例如,马里兰州现在要求组织在获悉数据泄露后的 10 天内报告有关数据泄露的详细信息,包括受害者人数,之前为 45 天。宾夕法尼亚州更新了法律以扩大个人的定义
可识别信息,包括与健康相关的信息以及用户名和电子邮件凭据。
文章来源:https://cybernews.com/news/us-data-breach-notices-2022-lack-details/
