Foxtons拒绝对数据泄漏缓慢反应的声明

房地产公司Foxtons坚持认为它在处理10月20日网络安全事件后，在与未知数量的客户相关的个人身份信息（PII）之后被发现在黑暗的网络上循环。

初步袭击于10月16日发生并强迫公司离线携带客户门户网站。它通知了该事件的有关当局，该事件将其作为“有限恶意软件病毒”在同一时间影响了多家公司的“有限的恶意软件病毒”，并表示没有义务告知其客户，因为没有损害任何通知的数据。

但是，我报纸进行的后续调查现在已经浮出了16,000条数据记录，包括卡详细信息，地址和私人信件。该报纸声称文件在大约三个月前在黑暗网络上发表，并从那时起已被浏览了15,000次。

该数据应了解于2010年之前，这可能太过分了，对网络犯罪分子太多了，但调查人员声称最多20％的卡数据可能仍然有效。该报纸还表示，它已从泄露索赔的人泄露的陈述中，转储只有1％的数据占据了exfiltrated的总量。

回应这一点，福克斯发言人说：“Foxtons抵押贷款经纪商的亚历山大大厅受到了2020年10月的恶意软件攻击，影响了许多其他组织。一些IT系统受到了几天的影响，但没有对客户的严重破坏而恢复。

“我们通过所有被盗的数据都经过所有被盗的数据，并确认它既旧的和不完整，因此不可用第三方可用，也不可以对受影响的客户造成财务损失或伤害而无法使用。

“已经向FCA [金融行为当局]和ICO [信息专员办公室]提供了所有必要的披露，并将攻击的完整细节提供给ICO [信息专员办公室]。我们满意的是，攻击并没有导致任何可能对客户造成损害的任何数据，并相信FCA和ICO对我们的回应感到满意。“

然而，即使在这种情况下正确行动，该事件似乎已经暴露出了Foxtons对数据安全方法的一些缺陷，因为Skurio Ceo Jeremy Hendy指出。

“与企业持有敏感数据的敏感数据，历史上难以检测那些客户数据集的违规和泄漏，”他说。“因此，重要的是要在组织网络之外的暴露数据进行定期监控，因为知道它发生了很重要 - 然后立即行动。

“早期违规检测是对GDPR [一般数据保护条例]的根本期望，即采取LAX方法的公司可以期望面对不断增长的监管罚款。”

Javvad Malik，安全意识倡导者，在评估数据的出处时敦促小心。

“犯罪分子不断发展他们可以勒索受害者或导致尴尬的方法和方式，”他说。“任何人都可以在声称它来自违规的黑网络上发布详细信息，但在跳跃结论之前，人们应该小心。

“但是，如果有人怀疑他们的细节可能会在任何违约中暴露，他们应该确保任何可能受到损害的密码都更改，而不仅仅是受影响的服务，而且还可以在任何其他可能使用相同凭证的其他网站上更改。

“同样，人们可以建立信用监测，并警惕任何未经请求的电子邮件或他们可能会收到关于违约的电话，或者声称是从公司收到的。犯罪分子经常试图欺骗受影响的用户，增加了侮辱伤害。“

Cortex Insight CTO STEPHEN KAPP同意，无论事件的完整事实如何，最好建议客户从措施保护自己免受身份盗窃和未来欺诈尝试的措施。

“Foxtons客户应该需要一些时间来验证自10月以来的付款和潜在的信用历史互动，并为他们的银行标记任何可疑的东西，”Kapp说。

“即使整个客户数据的子集已经泄露，攻击者声称他们拥有整个数据，他们只公开发布1％，并不意味着它尚未共享和剥削私下。”