三星对其7月份的数据泄露所说的-和没有说的

在美国的一个长假周末之前，电子巨头三星宣布其美国系统在一个月前被恶意黑客入侵，黑客闯入并带走了大量有关其客户的个人信息。

数据泄露可能是严重的。三星是全球最大的科技公司之一，拥有数亿设备所有者和用户。但三星对数据泄露通知的解释不力，加上其未解释的延迟披露数据泄露，让客户阅读了茶叶，也不清楚如何保护自己（如果有的话）。

TechCrunch已经标记并标注了三星的数据泄露通知🖍️ 我们分析了这意味着什么-以及三星遗漏了什么。

三星的发言人通过危机传播公司Edelman拒绝回答我们在发布前发出的问题，理由是“我们与执法部门协调的持续性”

三星在其数据泄露通知中所说

三星知道他的安全事件是数据泄露

并不是所有的安全事件都是一样的。恶意黑客并不总是窃取数据；这取决于公司的系统和网络是如何建立的，以及黑客能走多远。在这种情况下，三星知道数据是“获得的”🖍️ — 或者被黑客过滤。

记住，这只是最初的违规披露。三星提供了公司必须告诉你的最低限度的信息。黑客访问客户个人信息的事实要么表明三星没有保护这些数据，要么表明黑客深度访问了三星的网络，他们能够访问客户数据和其他高度敏感的文件。这也是三星今年第二次已知的数据泄露事件，3月份，Lapsus$黑客团队从该公司的系统中窃取了源代码和其他机密内部文件，但没有获取任何客户信息。

客户的个人信息被盗

三星在其数据泄露通知中表示：🖍️ 黑客“在某些情况下”获取了客户姓名、联系人和人口统计信息、出生日期和产品注册信息。这表明并非所有三星客户都受到影响，但也可能意味着三星还不知道其数据泄露中有多少数据被盗。

姓名和出生日期是个人信息。目前还不太清楚还有哪些数据被盗，但线索在隐私政策中。

三星之前告诉TechCrunch，客户在注册设备时提供信息，以访问“服务和支持、保修信息、软件更新以及购买未来三星产品的独家优惠”。这些数据包括三星产品型号、购买日期和设备的唯一标识符，如手机的IMEI号码和广告ID，或其他设备（如智能电视）的序列号。

唯一标识符被设计为假名，这样在数据泄露的情况下，这些随机的字母和数字串就没有多大用处。但是唯一标识符不是完全匿名的，并且可以与其他数据组合用于定向广告或用于识别用户或跟踪某人的在线活动。

人口统计数据包括精确的地理位置数据

三星的数据泄露通知中模糊提到了被黑客窃取的“人口统计信息”。三星表示，它收集了这些未指明的人口统计信息🖍️ “帮助我们的产品和服务提供尽可能最好的体验”-或另一种有针对性的广告方式。

三星美国的隐私政策对此做出了更明确的解释。“广告网络允许我们根据人口统计数据、用户的推断兴趣和浏览环境，将信息发送给用户。这些网络可以通过自动方式收集信息，包括使用浏览器cookie、网络信标、像素、设备标识符、服务器日志和其他类似技术，跟踪用户的在线活动。”

三星拒绝告诉TechCrunch“人口统计信息”包括哪些具体数据，但该公司的单独广告隐私政策中有更多线索，三星在数据泄露通知中链接了这些信息，并解释了人口统计信息包括哪些。

清单很长，你应该花时间仔细阅读。简略版本是，三星收集有关您的手机或其他设备的技术信息，您如何使用设备，比如您安装了哪些应用程序，访问了哪些网站，以及您如何与广告互动，广告商和数据代理使用这些信息来推断您的信息。这些数据还可以包括你的“精确地理位置数据”，这可以用来确定你去哪里和你遇到谁。三星表示，它会收集有关您在智能电视上观看的内容的信息，包括您观看的频道和节目。

三星还表示，它“可能会从可信的第三方数据源获取其他行为和人口统计数据”，这意味着三星从其他公司购买数据，并将其与自己的客户信息存储库结合，以了解更多关于您的信息，再次用于定向广告。三星不愿透露从哪些公司（如数据代理）获得这些数据。

但是，不良行为者手中的数据可以揭示一个人及其网络习惯的很多信息。

为什么三星不在其数据泄露通知中说这些？虽然这些数据可能无法识别个人身份，但在本质上仍然是个人的，因为它与品味、偏好和我们的现实活动有关，这就是为什么三星等公司收集的关于您的详细信息往往隐藏在隐私政策中，而没有人阅读（我们都对此感到有罪）。

三星拒绝透露来自第三方的数据是否因其违规行为而受损，但在发布前联系到发言人时，三星并未对我们的描述提出异议。

三星在其数据泄露通知中没有说什么

三星不愿透露有多少客户受到影响

三星拒绝告诉TechCrunch有多少客户受到了此次违规行为的影响。可能是三星不知道，这是不太可能的，因为它已经向它认为受到影响的客户发送了电子邮件。或者，更可能的是🖍️, 受影响的客户数量如此之多，以至于三星不想让你知道，因为公司会觉得尴尬。

三星拥有数亿用户，但很少透露其拥有多少客户。即使是1%的受影响客户仍可能达到数百万或数千万受影响用户。

不清楚为什么提到社会保障号码

数据泄露通知明显指出：🖍️ 这一违规行为“没有影响社会保障号码或信用卡和借记卡号码”。表面上看，这令人放心，但措辞不清楚。TechCrunch询问三星是否收集和存储社会保障号码，这些数据不受影响，但该公司拒绝透露-只是说问题“没有影响”社会保障号码。三星收集社会保险号码作为其融资选择的一部分，也是对三星资金用户的一项要求。

为什么要花一个月的时间通知客户？

查看违规的时间线🖍️, 三星表示，黑客在“2022年7月下旬”窃取了数据，一个宽泛的读数可以解释为7月中旬之后的任何时间点。三星可能会透露日期-如果它知道的话。还值得注意的是，这是三星表示数据从其网络中被过滤的日期，这不包括黑客在最终被发现之前在三星系统中花费了多少时间。它在8月4日发现了数据外泄，这意味着三星数周来都不知道客户数据被盗。

至于在一个月后，也就是在长假周末之前的一个星期五营业结束前几个小时披露违约事件？嗯，那只是糟糕的公关。

三星在披露其违规行为时更新了其隐私政策

在宣布数据泄露的同一天，三星还向其用户推出了一项新的隐私政策。感谢一位读者提醒TechCrunch注意这一点，新政策现在明确指出🖍️ 三星可以在用户同意的情况下使用客户的“精确地理位置”进行营销和广告。新政策现在也明确了：🖍️ 三星存储用户通过快速共享功能共享的数据的时间。三星表示，它可能“收集您共享的内容，这些内容将持续3天。”

TechCrunch询问三星如何定义用户同意，但发言人不愿透露。三星不愿透露推出新隐私政策的原因，但声称该更新与事件“无关”，而且是先前计划的。

本文：https://cioctocdo.com/parsing-samsungs-data-breach-notice