温哥华强奸危机中心服务器被盗！大量隐私数据泄露……

温哥华强奸危机中心告诉客户和捐助者，上个月其办公室的一台包含敏感个人信息和银行详细信息的计算机服务器被盗后，网络安全专家警告称存在“重大”数据隐私风险。

温哥华警方周五在给 CBC News 的电子邮件中证实， 12 月 3 日发生的Salal 性暴力支持中心市中心 新办公室遭闯入事件正在接受调查，至少一名在 Salal 寻求咨询的女性表示，她计划提出投诉与不列颠哥伦比亚省隐私监管机构就此次违规事件进行联系。

在 CBC 新闻获得的 12 月 23 日电子邮件中，执行董事达利亚·以色列 (Dalya Israel) 告诉 Salal 客户，该办公室目前正在翻修，被盗的物品包括一台备份服务器，其中包含他们的候补名单和联系信息。

伊斯雷尔写道：“您的姓名、电子邮件地址、电话号码以及有关安全风险或您请求的服务的注释可能会被公开发布、出售和分享。”

然而，她说，客户的个人档案、病例记录和医疗信息并未受到泄露，因为它们保存在加密的第三方平台上。

根据加拿大广播公司新闻获得的另一封发给捐赠者的电子邮件，被盗的服务器还包含捐赠者银行账户详细信息和支票图片，包括姓名、地址和电话号码。

以色列表示，在线捐款的信用卡和借记卡信息存储在加密的第三方平台上，并且保持安全。

“这不是数据‘黑客’，”她的电子邮件中写道。“我们不认为这次闯入事件是为了破坏 Salal SVSC 或我们所服务的幸存者的稳定。”

Salal 是一家非营利组织，前身为 WAVAW 强奸危机中心，根据其最新的年度报告， 2021 年 4 月至 2022 年 3 月期间，该组织接听了 4,769 个危机电话，并提供了 1,304 次个人咨询服务。

报告称，同期，它收到了 3,454 名个人捐助者的超过 51 万美元的捐款。

Israel 表示，Salal 认为数据被盗或滥用的风险很低，因为访问数据“需要复杂的”IT 知识，并补充说，独立的隐私影响评估估计风险为中等。 

以色列写道：“我们当然非常担心任何可能的数据泄露……我们正在尽一切努力确保这种情况不会再次发生。”

然而，目前尚不清楚有多少人的数据可能受到损害，或者数据有多脆弱。

以色列周五拒绝了 CBC 新闻的采访请求。

在周日的一份电子邮件声明中，她拒绝回答有关如何存储被盗数据的问题，“以保护调查和硬件信息的完整性”。

以色列表示，这起盗窃事件对萨拉尔来说是“毁灭性的”，她在电子邮件中指出，潜在的违规行为可能会让客户和捐助者感到痛苦或触发。

“我们最深切的承诺是对幸存者和我们的社区，我们知道这已经并将对他们产生重大影响，”她在给加拿大广播公司新闻的信中写道。

专家：盗窃带来“重大”风险

两名网络安全专家表示，虽然 Salal 向客户和捐助者通报了此次泄露事件，但该中心似乎淡化了盗窃行为可能给数千人带来的“重大”安全、财务和隐私风险。

圭尔夫大学网络安全和威胁情报加拿大研究主席 Ali Dehghantanha 表示，Salal 似乎没有采取基本措施来保护其工作所需的一些敏感数据。

他说，如果数据未加密，“任何人都可以轻松访问这些信息”。

“我不认为这是低风险。”

滑铁卢大学网络安全和隐私研究所的教授兼成员戴维·饶 (David Jao) 表示，将被盗硬件出售给能够获得访问权限并使用这些数据窃取银行账户、实施欺诈或进行网络钓鱼诈骗的人很容易。

Jao 表示：“一旦数据落入坏人之手，就很难召回数据。”他指出，服务器上任何知名的捐赠者都可能成为主要目标。

Dehghantanha 补充说，Salal 的工作性质也可能使客户的身心安全面临风险。

“对于许多人来说，你是该中心的客户这一事实本身就是一件私密且敏感的事情，”他说。

一名自称在 Salal 咨询候补名单上的女士告诉 CBC News，她计划向  不列颠哥伦比亚省信息和隐私专员办公室(OIPC) 提出投诉。出于隐私原因，加拿大广播公司新闻同意不透露她的名字。

OIPC 在周五向 CBC 新闻发表的一份声明中以保密为由，拒绝证实 Salal 是否报告了这起盗窃事件，也拒绝证实是否正在调查有关 Salal 的任何投诉。

一位发言人写道：“强烈鼓励各组织向 OIPC 报告可能对个人造成重大伤害的隐私泄露行为。”他指出，该监管机构拥有一份针对隐私泄露  和身份盗窃受害者的资源清单。

观看 | 保护您的数据免受黑客和诈骗者侵害的提示： 

 

如何知道您是否遭到黑客攻击以及您可以采取哪些措施来保护自己

 

加密还不够

Jao 和 Dehghantanha 表示，这次违规行为应该给 Salal 和其他与弱势群体合作的组织敲响警钟，让他们积极主动地保护数据安全。

以色列表示，该中心已将其备份服务器迁移到加密的云服务器，并将为其常用服务器添加更多“安全层”，并在新办公室增加摄像头和金属门卫。

Jao 表示，加密和物理保护是良好的第一步，但理想情况下，数据也应该被分割，以尽量减少潜在泄露的影响。

“你应该有多个备份，并且这些备份应该完全独立并加密，”Jao 说。

他说，组织还需要三思而后行，首先考虑他们收集了多少信息，客户应该谨慎对待，不要在没有充分理由的情况下泄露生日等个人信息。

Dehghantanha 表示，Salal 客户和捐赠者应更改密码、激活双因素身份验证并报告其银行和个人账户上的可疑活动，而 Jao 则强调，使用信用卡在线捐赠比使用支票安全得多。

Dehghantanha 还鼓励那些受影响的人向 OIPC 提出投诉， 以便在他们的数据确实被用来对付他们时获得一些追索权。