超过1000万人遭遇澳大利亚单一数据泄露OAIC

澳大利亚信息专员办公室(OAIC)最新发布的季度数据泄露报告显示，超过1000万人在一次事件中泄露了他们的信息。目前澳大利亚人口约为2540万。根据2019年1月1日至2019年3月31日的应通报数据泄露(NDB)计划向OAIC披露了违规行为，并在其季度统计报告[PDF]中进行了报告。虽然该报告没有详细说明影响超过1000万人的违规行为的根源，但它确实表明，与单一金融相关的违规行为中受影响的个人数量少于50万，而卫生部门影响最严重的三个违规行为的影响小于每人5,000人。

总的来说，OAIC收到了215次数据泄露通知，低于2018年10月至12月期间报告的262次。1月份报告了62起违规行为，2月份报告了67起，3月份报告了86起。在215中，131% - 61% - 归因于恶意或犯罪攻击，而人为错误导致75次数据泄露，9次被标记为系统故障。本季度受影响最严重的个人信息是联系信息，共有186个违规行为影响了此类数据。98个NDB与个人的财务信息有关，而55个包含身份信息。

在因恶意或犯罪攻击而被标记为违规行为的案件中，有87起被标记为“网络事件”，例如网络钓鱼，恶意软件或勒索软件，暴力攻击或受损或被盗的凭据。盗窃文书工作或数据存储设备是恶意或犯罪攻击的另一个来源，占18个漏洞。在涉及人为错误的情况下，报告显示，在23起案件中，个人的个人信息通过电子邮件发送到不正确的电子邮件地址。未经授权的披露，例如错误的发布或发布，占人为错误相关事件中的21起 - 每次数据泄露平均影响36,993个人。

报告显示，在发送电子邮件时未使用盲目复印件(BCC)，每次数据泄露平均会影响432人。对于系统故障，OAIC表示，其中大部分涉及由于编码错误而在网站上无意中泄露个人信息，或者导致包含个人信息的文档被发送给错误的人的机器故障。私营医疗服务提供者再次成为受影响最大的部门，OAIC收到58个NDB。财务，包括退休金，占27个违规行为;法律，会计和管理服务有23个NDB;教育19;零售业有11家。

人为错误占卫生部门违规行为的大多数，而恶意或犯罪活动是导致16个金融部门违规行为的罪魁祸首。系统故障仅影响卫生和教育部门。澳大利亚的NDB计划于去年2月生效，要求1988年“隐私法”所涵盖的澳大利亚境内的机构和组织通知个人 - 只要他们的个人信息涉及可能导致“严重伤害”的数据泄露 -在意识到违规后，应尽快切实可行。

根据2012年“我的健康记录法”制定的通知不包括在本报告中，因为它们受该法案中规定的特定通知要求的约束。作为最受破坏的部门，私人医疗服务提供者的继续存在不太可能平息对澳大利亚集中的“我的健康记录”系统的担忧。截至今年2月，超过250万澳大利亚人选择退出该系统。

OAIC表示，这是该办公室最后一次每季度报告NDB计划，委员会将每六个月发布一次信息。由此引起关注的是，OAIC资源太少，无法处理其目前的职权范围。