John Smith* 去年夏天在网上认识了一个人,当时他在国外生活了十多年后刚刚搬到悉尼。 使用约会应用程序 Grindr,他开始与一个名叫 Tahn Daniel Lee 的人聊天。
Lee 当时正处于 COVID 隔离状态,所以他们在网上聊了几周,然后在悉尼的 Surry Hills 第一次约会——吃了一顿日式晚餐,然后吃了 Messina 冰淇淋。
这个日期将是众多日期中的一个 – 在史密斯开始怀疑李正在监视他的银行账户时,在发生黑暗转变之前迅速发展的关系。
年龄 和 这 悉尼先驱晨报 它可能表明,世界上最大的金融公司之一美国运通不仅会在没有进行适当调查的情况下驳回史密斯最初的投诉,而且会在外部调查期间提供误导性信息。
澳大利亚证券交易所上市的两家主要公司——Optus 和 Medibank——已经向犯罪分子披露了敏感的身份和健康信息,并开始了一场关于如何最好地应对新出现的网络威胁的全国性对话。
网络安全专家表示,“内部威胁”是一个重大风险,隐私专员未能惩罚违法公司,在澳大利亚企业中形成了一种有罪不罚的文化。
“因为庇护所是什么?” Nigel Fear 说,他是一名前澳大利亚联邦警察侦探,现在是网络专家。 “公司只是没有管理所需的风险。基调从高层开始。”
豪华酒店和专属俱乐部
史密斯对李的第一印象是他笑容灿烂,两人的关系发展得很快。
Lee 曾担任美国运通 Centurion 的客户关系经理,Centurion 是黑卡持有者的专属俱乐部,他们通常每年花费 50 万美元。
史密斯已经拥有美国运通白金卡,但李建议他在澳大利亚注册,这样他就可以向他展示如何充分利用这些好处。
他同意并很快开始使用美国运通卡作为他的主要银行卡。 但他很快怀疑李在监视他的交易,因为他对史密斯购买的物品、他去过的地方或他支付的款项发表了一系列评论。
史密斯在后来向美国运通提交的投诉中写道。
史密斯患有自闭症,虽然他被归类为“高功能”,但他有时难以识别不当行为。 他说,他注意到关于李的“警告信号”,但没有理会,并与他的新伙伴一起前往夏威夷和汉密尔顿岛。
在一次这样的旅行中,史密斯对李讨论客户事务的方式感到不舒服,包括主要食品经销商 Primo Foods,他说该公司将数百万美元转移到了开曼群岛。 在后来的一条短信中,他告诉我,“为了你的信息,我告诉你的关于工作的一切都是绝密的。”
到 4 月,他试图断绝关系,并说他已经警告李,他会向美国运通报告他的行为。
对此,李某反应不佳。 史密斯说他恳求继续这段关系,有一次突然打电话给史密斯最好的朋友,求她劝阻史密斯提出投诉。
这是最后一根稻草。 他决心向我报告。
美国运通表示“没有不当访问”
大约在同一时间,另一名美国运通员工收到史密斯账户异常活动的警报。 这引发了对李的内部调查,很快洗清了他的任何不当行为。
该公司于 5 月 26 日写信给史密斯,声称 Lee 没有担任必须访问他的帐户的角色,并且无论如何,都有适当的培训和流程来保护客户信息。
该公司写道:“我们相信您的 Platinum Charge 卡账户没有受到不当访问。”
史密斯不相信,要求美国运通确保拒绝李访问他的帐户,并报告了有关 Primo Foods 的讨论。 接下来的一周,在电话中,史密斯说他被告知,如果我查看他的账户,那不会有什么大不了的,因为他们是合作伙伴,而且讨论 Centurion 客户也没有什么值得担心的。
史密斯向隐私专员投诉,隐私专员将此事转交给澳大利亚金融投诉局。 AFCA 立即要求与美国运通会面,以确认 Lee 不再有权访问 Smith 的账户。
公司反应很快,后来发现是错误的。 我们确认该员工无权访问它 [Smith]美国运通回应。
在接下来几个月的 AFCA、史密斯和美国运通之间的信件中,该公司继续表示不存在不当访问或违反隐私法的情况。
直到故事变了。 8 月,也就是李的反常活动首次被发现三个月后,史密斯获悉,美国运通发现李实际上已经获得了他的个人信息。 数字访问记录显示,李在今年 2 月至 4 月期间在九个不同的场合查看了史密斯的私人账户。
加载中
美国运通随后表示,不可能阻止李访问该账户,但他将受到纪律处分,并将对该账户进行监控,以确保不再有入侵行为。
“美国运通实际上无法限制美国运通员工访问任何持卡人数据的能力,”该公司在一封信中写道。
“我们承认 [Smith] 他对他的前伴侣访问他的个人信息感到不安,并已尽一切努力实施控制以进一步保护他的数据。”
在本月发布的最终裁决中,AFCA 认定美国运通公司允许李在恋爱前后未经许可访问他的账户,违反了隐私法。 它判给史密斯 2,000 美元的赔偿金,但没有下令道歉,也没有洗清公司的任何不当行为。
亚足联发现“我很满意金融公司已经调查了投诉人提出的问题,并且在这种情况下做出了适当的回应。”
美国运通拒绝回答有关调查史密斯投诉所采取的步骤或对李采取的行动的具体问题,但表示它坚持“最高水平的诚信”并与亚足联合作。
该公司表示:“虽然他们决定反对我们,但他们得出的结论是,美国运通已经进行了适当的调查和回应。” 我们很满意这不会对我们系统的完整性构成任何威胁。 保护我们客户的隐私和我们系统的完整性仍然是我们的首要任务。”
加载中
根据现行法律,该公司每次未经授权的访问可被处以最高 220 万美元的罚款。 联邦政府正在考虑将每次违规的罚款提高到 5000 万美元,这意味着美国运通可能会因九次违规而面临总计 4.5 亿美元的罚款。
CyberCX 的隐私法专家大卫·帕奇 (David Patch) 表示:“公司需要更加认真地对待未经授权访问信息这一问题,因为处罚非常严重。” “但实际上,隐私专员历来没有征收过这些罚款。”
10 月,史密斯被告知亚足联的系统案件小组已同意调查美国运通对史密斯案件的处理方式。 该团队调查严重的违规行为和系统性问题,并可以将问题提交给隐私专员等其他监管机构,但其调查结果几乎没有透明度。 亚足联无法评论承诺的调查是否会真正进行。
“立刻阻止他们。”
新南威尔士大学网络安全教授 Nigel Fair 表示,“内部威胁”是企业关注的一个关键问题,因为流氓员工的行为会破坏整个组织的安全。
加载中
“三分之一的数据泄露是由恶意或鲁莽的人造成的,这是一个巨大的数字,”Fire 说。 “公司可能不会马上抓住它,但当它抓住时,应该能够立即阻止它。”
他说,当局未能对不当处理客户数据的公司施加重大处罚,这在澳大利亚公司中造成了一种有罪不罚的文化。
这令人失望,尤其是当政府表示我们将加大处罚力度时。 你为什么不开始使用你先得到的惩罚呢? “
对于史密斯来说,他对美国运通和旨在让公司承担责任的制度感到失望。 如今,他确保仅以不泄露其位置的方式使用该卡。 “他仍然可以访问,”他说。 “他可以查看我的帐户并实时查看我的位置。”
Lee 和 Primo Foods 没有回应置评请求。
* 不是他的真名。 他要求对他的身份保密。
早间版时事通讯是我们获取最有趣的每日故事、分析和见解的指南。 在这里注册.
More Stories
北京致中国电动汽车制造商:在投资支持关税的欧盟国家之前要三思而后行
平箭头。 Meta 和微软盈利高于华尔街预期,MinRes 与 Rhinehart 达成天然气交易,JB Hi-Fi 和 Coles 销售额增长
欧洲对中国电动汽车征收关税:你需要知道的一切