外洩300萬筆客戶資料，英國電子產品零售商Carphone Warehouse被罰逾50萬美元

英國電子零售業者Carphone Warehouse在2015年因遭到網路攻擊，造成逾300萬客戶以1000名員工的資料外洩，本周被英國資訊專員辦公室（Information Commissioner’s Office，ICO）以違反《Data Protection Act 1998》資料保護法為由判罰40萬英鎊（近55萬美元）。

當時Carphone Warehouse遭到駭客存取的客戶基本資料包括姓名、地址、電話號碼、生日與婚姻狀態等，另有1.8萬名客戶的金融卡資訊。

英國資訊專員Elizabeth Denham表示，像Carphone Warehouse如此大規模且資源豐富的企業，應該積極地評估其資料安全系統，確保系統足夠強大而避免類似的攻擊。然而，Carphone Warehouse在網路安全上的系統瑕疵卻只是缺乏普通且基本的措施。

因此，ICO判定Carphone Warehouse沒有採取妥善的措施來保障使用者資訊，駭客僅是透過有效的登入憑證，就能藉由過時的WordPress軟體存取系統。

英國資訊專員辦公室在資料控制上最高的罰金權限為50萬英鎊，但迄今最多只祭出40萬英鎊的罰款，除了Carphone Warehouse之外，英國電信業者TalkTalk在2015年遭到駭客入侵並導致400萬客戶資料外洩，同樣也被ICO罰了40萬英鎊。