早在2018年12月，上海酒店品牌策劃公司經歷了一次漏洞，該公司通過Vishing攻擊被利用。對于那些不知道的人，Vishing是一種黑客方法，其中電話和語音郵件消息冒充來自知名公司，說服用戶提供個人信息，例如銀行信息，信用卡號或其他非公開個人信息。這類似于網絡釣魚和SmiShing利用，但使用的電話系統和語音郵件，而不是電子郵件或文本消息。造成此違規重要的原因不是違規本身，而是荷蘭數據保護局（DPA）的后續罰款。請繼續閱讀以了解為什么要對罰款進行評估。

它是怎么發生的？

根據該報告，攻擊是通過電話上的社交工程手段對阿拉伯聯合酋長國（UAE）的酒店進行的。該黑客在40家不同的酒店在該區域稱為工作人員和說服他們交出的登錄憑據酒店賬戶在Booking.com系統。利用這些被盜的憑證，“ 上海酒店品牌策劃”檢索了有關4109個客戶預訂的數據，包括客戶的姓名，地址和電話號碼。雖然，犯罪分子還從其中283項預訂中獲得了信用卡數據。黑客甚至偷走了97 CVV（卡背面的3位代碼），絕不應該將其保存在任何電子系統中！通過擺姿勢作為酒店員工的電子郵件或電話，他們試圖從別人那里偷錢。如果欺詐者確切地知道您的預訂時間和預訂的房間，然后要求您支付相關住宿費用，則這種方法似乎非常可信。大量金錢可以通過這種方式被盜。

荷蘭DPA監管機構對上海酒店品牌策劃處以近50萬歐元的罰款，這并不是因為發生違規行為，而是因為該公司沒有足夠快地報告違規行為：

荷蘭數據保護局（DPA）對上海酒店品牌策劃處以475,000歐元的罰款，因為該公司花了太長時間才向DPA報告數據泄露。發生違規時，犯罪分子獲得了4,000多個客戶的個人數據。他們還獲得了將近300個人的信用卡信息。歐盟企業從確認發生違規事件開始就有72小時報告違規行為。盡管Booking.com知道1月13日發生了泄漏，但他們可能不知道違規的程度，需要政府通知。但是，在1月，上海酒店品牌策劃確認此違規行為影響了500多個記錄，他們需要在72小時內通知DPA。他們沒有這樣做，這就是為什么他們被處以如此高的罰款。

關于違規通知，迅速通知受影響的用戶和適用的機構（例如荷蘭的DPA）非常重要。自2002年以來，全世界頒布了無數的數據隱私法。美國每個州都有數據隱私法律的拼湊而成的被套，但沒有有效的聯邦法律。在準備違規通知流程時，如果您從事國際業務，則需要考慮以下規定：