2018年六起由第三方導致的重大數據泄露事件
2018年大大小小的安全事件中,數據泄露最為引人關注,其中因第三方導致的泄露事件不占少數。無論是由于服務提供者所管理的在線資源配置不當、還是不安全的第三方軟件,或是與第三方不安全通信渠道,如果組織并未有足夠地關注與防范,那么與第三方合作可能會使組織面臨巨大的風險。
以下六個事件,說明了缺乏對合作伙伴和供應商的風險管理會帶來怎樣嚴重的后果。
一、信用卡申請人數據泄露
最近發生的安全事件,美國銀行信用卡發行商TCM Bank公開消息,由于第三方供應商管理的網站配置錯誤,導致在2017年3月初至2018年7月中旬之間暴露了長達16個月的信用卡申請人數據(包含姓名、地址、出生日期、社會安全號碼)。事后,TCM Bank要求供應商查看他們的技術和程序,以防止類似問題的發生。
二、數百萬客戶郵件地址暴露
今年6月,賽門鐵克的身份保護服務Lifelock出現了一件尷尬的事情:該公司發現,網站上的一個漏洞暴露了數百萬客戶的電子郵件地址,而問題出在由第三方負責管理的網站頁面。
三、消費者個人信息及銀行卡數據泄露
活動票務巨頭公司Ticketmaster爆出數據泄露事件,包含用戶個人信息和銀行卡數據,事件影響近5%的全球用戶。事件是由第三方服務商Inbenta Technologie引起的,Inbenta Technologies為Ticketmaster提供軟件開發服務,而涉事軟件中含有惡意代碼。事件的背后,是一個名為Magecart的威脅組織發起的攻擊行動。研究人員發現,Magecart通過在第三方組件和服務上安裝惡意代碼攻擊了全球800多家電子商務網站。
四、百余家制造企業商業機密泄露
今年夏天,包括通用汽車、菲亞特克萊斯勒、福特、特斯拉、豐田和大眾在內的100多家制造企業因第三方泄露重要商業機密而受到打擊。這起事故是由一家名為Level One Robotics的公司引起的,這家公司提供工業自動化服務。研究人員發現,曝光來自rsync,這是一種用于備份大型數據集的通用文件傳輸協議,因rsync服務器沒有受到限制,連接到rsync端口的任何rsync客戶端都有權下載此數據。此事件將157GB的數據置于危險之中,其中包括裝配線結構圖、工廠平面圖、機器人配置和文檔。
五、4.5萬份患者就醫記錄泄露
Nuance是語音識別軟件的第三方提供商,為醫療機構提供醫療轉錄服務。今年5月,因系統漏洞,導致包括舊金山衛生局和加州大學圣迭戈分校在內的客戶信息泄露,曝光了4.5萬份患者記錄。
六、消費者敏感信息泄露
第三方在線聊天和支持服務提供商-[24]7.AI,在今年導致了包括西爾斯、達美航空和百思買在內的多個主要品牌的消費者PII記錄被曝光。包含消費者的姓名、地址、信用卡號碼、CVV號碼信息。
對第三方安全風險進行管理
相比企業內部的風險管理,對第三方風險管理更具有挑戰性,對擁有成百上千供應商的組織來說,更是如此。2018年6月,“安全值”聯合“供應鏈安全聯盟”發布了《第三方安全風險管理能力框架》,文中提到“第三方是組織的擴展,其行為可以直接影響到合規性和品牌聲譽。這就要求企業對幾十個,幾百個甚至數千個第三方進行調查,評估和后續跟進,并對風險采取行動。第三方風險管理能力將應用于從合同簽訂之前到合同執行過程中一直到合同完成之后整個生命周期,并且在數字化環境下,風險控制需要得到領導充分的重視和支持,經多個業務和職能部門的協同來完成。”可見,對第三方合作伙伴的風險管理,任重而道遠,過程更需要科學的方法。
【本文是51CTO專欄作者“”李少鵬“”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
