Pilgrim encontra Ashley Madison violado Lei de Privacidade da Austrália

Comissário australiano Privacidade Timothy Pilgrim eo Privacy Commissioner of Canada Daniel Therrien lançaram um relatório sobre a violação de dados Ashley Madison mais de um ano desde o incidente ocorreu, encontrando violado atos de privacidade de ambos os países.

AshleyMadison.com, um site que exortou os seus utilizadores a “ter um caso”, sofreu a violação de dados em julho de 2015, no que foi uma das violações de segurança mais comuns até à data. Cerca de 37 milhões de pessoas foram apanhados no ataque que viu os dados pessoais dos utilizadores, incluindo informações de cartão de crédito, vazou online.

Comissários Pilgrim e Therrien inicialmente abriu a investigação conjunta sobre a violação em agosto do ano passado, publicando as suas conclusões [PDF] 12 meses mais tarde.

A investigação conjunta de Ashley Madison pela Privacy Commissioner do Canadá e dos Uma Privacidade ustralian Comissário e Acting Australian Information Commissioner afirma o principal problema sob investigação foi a adequação das salvaguardas para proteger as informações pessoais dos usuários, encontrando Ashley Madison violado tanto a Lei de privacidade australiano e canadense pessoal Proteção da Informação e Documentos eletrônicos Act (PIPEDA).

O inquérito analisou as práticas de manipulação de dados da empresa-mãe da Ashley Madison Avid Media Life Inc – recentemente rebatizada como rubi Corp – em relação à retenção de informações pessoais de um usuário depois de terem pago a taxa necessária para excluir seu perfil.

Com sede em Toronto, Canadá, Avid Media Vida opera três outros sites: Cougar vida, os homens estabelecidos e Man Crunch. A empresa puxado em mais de R $ 100 milhões em receita operacional em 2014 de seu site de habilitação caso sozinho.

Como relatado anteriormente pelo site, os hackers por trás da violação, Impact Team, deu Ashley Madison um ultimato que disse a menos Avid Media Vida desligar o Ashley Madison e sites Homens estabelecido que iria publicar dados roubados online. Em 18 de agosto de 2015, o Impact Team lançou um despejo de dados cerca de 10 GB de tamanho, que continha informações de membros, incluindo endereços de e-mail e detalhes de cartão de crédito.

Avid Media Vida disse aos comissários que acredita que o atacante tinha algum nível de acesso à sua rede por pelo menos vários meses antes da violação real, admitindo-se um alvo em vez de ataque oportunista.

No momento do ataque, a organização disse que tinha uma série de salvaguardas no lugar, incluindo manter seus servidores em, uma sala isolada trancada com acesso limitado por keycard a funcionários autorizados e servidores de produção armazenada em uma gaiola nas instalações de um terceiro , com a entrada de exigir uma verificação biométrica, um cartão de acesso, identificação com foto e um código de bloqueio combinação.

O relatório constatou que, no momento do incidente, Avid Media Vida não têm documentado políticas ou práticas de segurança da informação para gerenciar permissões de rede, mas também encontrou a organização não tinha aplicado uma série de contramedidas detetive comumente usados ​​que poderia facilitar a detecção de ataques ou identificar anomalias indicativas de preocupações de segurança.

“[Avid Media Vida] ​​tinha alguns sistemas de detecção e monitorização no lugar, mas estes foram focados em detectar problemas de desempenho do sistema e solicitações dos funcionários incomuns para a descodificação dos dados confidenciais do usuário”, disse o relatório.

A empresa não tinha implementado um sistema de detecção de intrusão ou sistema de prevenção e não tinha um sistema de gerenciamento de informações de segurança e de eventos no lugar, ou monitoramento de prevenção de perda de dados, os comissários encontraram. Além disso, o relatório disse que logins VPN foram monitorados e revisados ​​em uma base semanal; comportamento de login no entanto incomum, que poderia dar indicadores de atividade não autorizada, não foi monitorado.

Avid Media Vida também confirmou que não tinha uma estrutura de gerenciamento de risco documentado orientando como ele determinou que a segurança medidas poderão ser adequadas aos riscos que enfrentou.

Como resultado da investigação, Pilgrim disse Avid Media Vida ofereceu vinculativas, quadra de compromissos exigíveis para cada Comissário para melhorar suas práticas de informações pessoais e de governança.

Pilgrim acredita que este resultado fornece encerramento.

“Enquanto [Avid Media Vida] ​​ficou muito aquém das exigências que seria de esperar para uma organização gestão de informações pessoais, violações pode ocorrer nas empresas mais bem administradas”, disse Pilgrim.

Inovação;? Mercado M2M salta para trás no Brasil; Segurança; prisões do FBI supostos membros de Crackas com atitude para cortar funcionários gov’t EUA; Segurança; WordPress pede que os usuários para atualizar agora para corrigir falhas de segurança críticas; Segurança; Casa Branca nomeia primeiro Chefe Federal Information Security Officer

A lição para os consumidores é fazer escolhas informadas sobre o fornecimento de informações pessoais e de ter privacidade em suas próprias mãos. Seja claro sobre o que você está oferecendo, o valor que você está recebendo em troca, e entender que nenhuma organização é “violação à prova ‘.

Peregrino e Therrien recomendam que as organizações que possuem informações pessoais sensíveis ou uma quantidade significativa de informações pessoais devem ter medidas de segurança informações adequadas em vigor, como um políticas de segurança, um processo de gestão de risco explícito, conhecimentos técnicos adequados, e da privacidade e treinamento de segurança para todos os funcionários.

Falando sobre ABC News 24 na quarta-feira, Peregrino ofereceu algumas salvaguardas uma organização deve ter no lugar para evitar experimentar uma violação de uma natureza semelhante à Ashley Madison.

“Antes de tudo é preciso haver muito mais elevados níveis de protecção sobre que tipo de organizações senhas estão usando, muito maior uso de métodos de criptografia quando a informação está sendo protegido e dentro dos servidores, certificando-se que é difícil para eles para ser capaz de se mover sobre por ter um monte de proteção mais forte em termos de senhas dentro do sistema e outros protocolos e em um nível básico, fundamentalmente treinar o pessoal sobre as suas responsabilidades “, disse ele.

Ele disse que as pessoas devem estar conscientes de por que eles estão dando sobre suas informações pessoais e o que vai acontecer com ele, observando que compete à organização para proteger as informações para padrões adequados – o que ele disse Ashley Madison não fez.

“O usuário se inscreveu olhando para as políticas de Ashley Madison e teriam entrado no acordo que esperam um certo nível de protecção, uma vez que forneciam seus dados e que foi severamente falta nessa circunstância”, disse ele.

“Ashley Madison estava em violação de nosso ato privacidade e também o ato de privacidade do Canadá por não ter essas normas em vigor.”

A classe de ação judicial foi apresentada contra Avid Media Life no Canadá, reivindicando uma indenização de até US $ 760 milhões por conta dos canadenses cujos dados foram sido divulgada online.

Indivíduos que se inscreveram também são capazes de apresentar uma queixa individual via escritório do comissário da Austrália, o que poderia vê-los remunerado pelo vazamento de suas informações privadas sem obter os tribunais envolvidos.

Sob a Lei de Privacidade da Austrália, as organizações são obrigadas a destruir ou de-identificar informações pessoais, uma vez que já não precisa da informação para qualquer finalidade; da mesma forma, sob PIPEDA Princípio 4.5, informações pessoais não serão usadas ou divulgadas para fins diferentes daqueles para os quais fins que foi coletado, exceto com o consentimento do indivíduo ou conforme exigido por lei.

Os comissários recomendamos que Avid Media Vida cessar a sua prática de retenção de informação indefinidamente pessoal dos usuários cujas contas são desativadas ou inativo.

A dupla também pediu Avid Media Life para ser mais transparente com os usuários, observando que “o consentimento de um indivíduo só é válida se for razoável esperar que um indivíduo a quem são dirigidas as atividades da organização se compreender a natureza, finalidade, e as consequências de a recolha, utilização ou divulgação das informações pessoais a que estão consentindo “.

? Mercado M2M salta para trás no Brasil

prisões do FBI supostos membros de Crackas com atitude para cortar funcionários gov’t dos EUA

WordPress pede que os usuários para atualizar agora para corrigir falhas de segurança críticas

Casa Branca nomeia primeiro Chief Information Security Officer Federal